1

Análise de ataque do Malware Nanocore RAT com Wireshark

em ambiente virtualizado REMnux

Márcio Luiz Ribeiro da Silva

MBA Informática Forense
Instituto de Pós-Graduação - IPOG
Manaus, AM, 15 de novembro de 2021

Resumo
Tendo enfrentado profissionalmente no passado diversas situações de ataques de
Malwares e Ransomwares em ambientes de rede corporativa decidimos estudar
como identificar um programa malicioso encontrado em tais ambientes, para tal
escolhemos como objeto de estudo um dos mais sofisticados Remote Access
Trojans (RAT) conhecidos, o Nanocore, que será analisado quanto a sua atividade
de rede. Detalharemos nesse artigo uma intrusão do referido Malware fazendo uso
do mais conhecido e utilizado analisador de protocolo de rede, o Wireshark,
executado dentro de um ambiente seguro com o Linux Tool Kit REMnux virtualizado
no Oracle VirtualBox em um arquivo de packet capture (pcap) do Nanocore
destinada a estudos. O Objetivo de tal estudo é analisar o tráfego de rede de um
computador infectado pelo Malware Nanocore para se possível identificar sua
origem, como o computador foi infectado e por que meios e quais métodos ele utiliza
para se multiplicar pela rede e infectar outros computadores. Através do Wireshark
analisaremos a captura de pacotes do programa malicioso minuciosamente quadro a
quadro para identificar a origem/destino dos pacotes bem como as trocas de
arquivos encapsulados nos mesmos. Inicialmente vendido como uma ferramenta de
gerenciamento remoto por seu desenvolvedor o Nanocore foi extensivamente
utilizado por Hackers devido a sua atuação furtiva e fácil instalação pelo próprio
usuário leigo para tomada de controle de computadores pelo mundo inteiro por
longos anos. Mesmo após a prisão de seu criador ele sofreu diversas atualizações e
adição de plugins desde sua aparição sendo um Malware ativo até os dias atuais em
sistemas mais antigos e vulneráveis.

Palavras-chave: Nanocore. RAT. Malware. Wireshark. REMnux.

 2

1. Introdução
A muito tempo a distribuição de RATs por e-mail spam e phishing vem se
destacando como principal porta de entrada de softwares maliciosos dentro das
corporações, aproveitando-se de infraestruturas de TI mal protegidas quanto a
invasões externas, ausência de Firewalls com monitoramento e controle de intrusões
IPS/IDS, Antivírus desatualizados ou mesmo ausentes e até a própria ingenuidade
dos usuários, tais falhas de segurança permitem que essa estratégia ainda seja
utilizada com certo grau de sucesso até hoje mesmo com a proliferação dos ataques
mais modernos de Ransonware.
Mas não são apenas as corporações que são vítimas de tais ataques, muitos nichos
de usuários não corporativos também têm sido alvo desse tipo de RAT como
demostraremos mais a frente, os Hackers se utilizam de engenharia social para
atingir tais grupos de usuários com e-mail phishing de interesse coletivo daquele
determinado conjunto de possíveis vítimas. Assuntos em destaque, notícias de
última hora, boatos de celebridades e até fake News são conteúdo comum desses e-
mails que buscam um usuário leigo e com seu computador desprotegido para ser
controlado pelo RAT.
Para nosso objeto de estudo analisaremos o Nanocore RAT, ferramenta de
gerenciamento remoto que se transformou em um dos RATs mais ativos no mundo
por vários anos e ainda se encontra em atividade em suas versões mais atuais.
Apesar de inicialmente o Nanocore não ter sido desenvolvido com o intuito
malicioso, mas comercializado apenas como um gerenciador remoto como
explicaremos adiante, seu código foi modificado ao longo dos anos para se tornar
um RAT amplamente utilizado e sem custo algum, o que aumentou muito sua
popularidade na comunidade Hacker.
Este estudo se utilizará de um ambiente de análise seguro Remnux, distribuição
Linux voltada para análise de Malwares, para assim evitar que o malware seja
bloqueado/removido por ferramentas de antivírus ou contamine estações Windows
vulneráveis, apenas por precaução. Uma captura de pacotes de rede pcap contendo
o Malware Nanocore RAT foi baixada do site (malware-traffic-analysis.net, 2021),
voltado a análise de tráfego de rede de Malwares, para ser o objeto da nossa análise
pelo analisador de protocolos de rede Wireshark. Utilizaremos o Oracle Virtual Box
para virtualizar Remnux onde faremos a análise pelo Wireshark em busca de
informações referentes ao Malware que possam ser utilizadas em sua identificação.
Faremos agora uma breve explanação sobre o Nanocore RAT, sua história
conhecida e suas principais características, em seguida descreveremos nosso
ambiente de análise e suas ferramentas finalizando com a análise do Malware em si.
 3

2. Nanocore
O Nanocore é um Malware criado em 2012, mas inicialmente identificado em 2013,
consiste em um RAT que fornece ao invasor informações do computador hospedeiro
que permitem ao invasor uma gama de possibilidades maliciosas, tais como:
manipulação de arquivos, acesso a webcam e microfone, roubo de logins, etc. O
Nanocore foi atualizado ao longo dos anos sendo dividido em várias versões,
algumas delas com plugins que foram adicionando mais funcionalidades ao mesmo.
Ao contrário da maioria dos Malwares que tem uma função bem específica o
Nanocore permite que o invasor obtenha controle total do computador infectado
possibilitando ações maliciosas quase limitadas. Segundo (Poulsen, 2017) o
Nanocore foi desenvolvido como uma ferramenta de gerenciamento remoto por um
programador chamado Taylor Huddleston e vendido como tal inicialmente por 25
dólares. Segundo (Valeros, 2018) ele foi aclamado por muitos como um dos RATs
mais sofisticados da época e foi adotado por hackers sendo utilizado até hoje.
Também conhecido como Aeonhacks, Taylor Huddleston foi preso no final de 2016 e
condenado em 2018 a 33 meses de prisão por "ajudar e encorajar invasões de
computador com a venda de malware" conforme (The United States Department of
Justice, 2018). Divulgado originalmente como uma ferramenta de administração
remota em seu próprio site nanocore.io que pode ser visualizado em (Internet
Archive, 2016) o Nanocore permitia vigilância remota com áudio, vídeo, arquivos e
processos, além de criar conexões de proxy reverso e ter suas funcionalidades
expandidas por meio de plug-ins.

Figura 1: Promoção das qualidades da ferramenta de dministração remota Nanocore

Fonte: nanocore.io (Internet Archive, 2016)
 4

Alguns Plugins da extensa lista suportada pelo Nanocore eram divulgados no próprio
site nanocore.io, hoje acessível apenas pelo web.archive.org disponível em (Internet
Archive, 2016).
• Core Plugin: aprimora a funcionalidade básica da ferramenta, com mais
configurações e opções.
• Plug-in de gerenciamento: adiciona console remoto, editor de registro,
gerenciador de tarefas e navegador de arquivos.
• Plug-in ManagementEx: adiciona algumas funcionalidades extras, como
acesso à área de transferência, configurações de inicialização, programas
instalados e gerenciador de janelas.
• Plug-in de rede: encarrega-se de habilitar o suporte a SOCKS reverso.
• Plug-in de segurança: dá acesso a firewall e outras ferramentas anti-
malware.
• Plug-in de vigilância: oferece acesso a webcam e microfone.
• Plugin de Ferramentas: conjunto de ferramentas para ter controle total da
máquina.

Figura 2: Lista de Plugins

Fonte: nanocore.io (Internet Archive, 2016)
 5

Como era de se esperar Hackers decodificaram o malware e as lançaram na

Internet. Segundo (Balanza, 2015) pesquisadores da Symantec descobriram
diversos vazamentos do NanoCore primeiramente uma versão alfa vazada no final
de 2013 seguida por vários vazamentos de versões beta nos anos seguintes. Já em
2015 a primeira versão completa do trojan com todos os seus plug-ins vazou. Tais
vazamentos aumentaram exponencialmente a utilização do RAT pelo mundo.
Segundo publicado por (Bitton, 2015) em seu artigo sobre o Nanocore,
pesquisadores da ENSILO explicam como o código da NanoCore não é totalmente
original, eles mostram por exemplo que a funcionalidade de recuperação de senha
do RAT era um código de uma ferramenta já existente e bem conhecida chamada
WebBrowserPassView da NirSoft que apesar de ser freeware não permitia o uso
comercial de seus códigos. O malware é citado em diversos ataques de e-mail
phishing conforme relatado por (Kasza, 2016) da Paloalto em seu artigo
“NanoCoreRAT por trás de um aumento nos e-mails de phishing com tema fiscal”,
por (Chiu & Ugarte , 2015) no artigo “Malware encontra SysAdmin - ferramentas de
automação que deram errado” e por (Duncan, 2016) na sua publicação “Malspam
distribui NanoCore RAT”.

Figura 3: Distribuição dos destinatários de e-mails do Nanocore com tema fiscal

Fonte: (Kasza, 2016)

Figura 4: documento enviado via e-mail com macro que instala o Nanocore
Fonte: (Chiu & Ugarte , 2015)
 6

Figura 5: Malspan com uma ordem de compra falsa com o Nanocore anexado
Fonte: (Duncan, 2016)

Um dos ataques mais conhecidos do Nanocore foi observado em março de 2015, de

acordo com (Balanza, 2015) da Symantec, hackers visavam invadir os sistemas de
empresas de energia na Ásia e no Oriente Médio. Tais empresas receberam e-mail
falsos a partir de uma companhia sul coreana legítima com um arquivo anexado que
continha um RTF malicioso que explorava uma vulnerabilidade dos controles
ActiveX do Windows que, após a ação bem-sucedida, estava baixando e instalando
o NanoCore nos computadores das vítimas.

Figura 6: E-mail com anexo malicioso uados nos ataques de 2015

Fonte: (Balanza, 2015)
 7

Em 2017 dois pesquisadores da Fortinet (Joie & Rommel Joven , 2017) expuseram
um caso de NanoCore sendo utilizado para atacar francófonos, os e-mails de
phishing escritos em francês continham um arquivo PDF anexado que continha um
JavaScript embutido usado para baixar e instalar o RAT.

Figura 7: Spam de e-mail em francês com um PDF macilioso anexado

Fonte: (Joie & Rommel Joven , 2017)

No entanto a intenção do utilizador do Nanocore pode definir se ele se trata de uma

simples ferramenta de gerenciamento remoto como foi inicialmente comercialida
pelo seu deselvolvedor Taylor Huddleston ou um trojan de acesso remoto
largamente difundido após o vazemento de seu código fonte, a pesquisadora de
trojan RATs Veronica Valeros relata em seu artigo:

Ainda existe uma controvérsia sobre como considerar o NanoCore. É uma

ferramenta de administração remota? Ou é um trojan de acesso remoto?
Como de costume, a difícil definição se resume à intenção dos utilizadores.
No caso do NanoCore, e de muitos outros RATs, uma vez que o código-
fonte é vazado, a ferramenta e sua intenção são atreladas ao seu utilizador.
(Valeros, 2018).
 8

3. Wireshark
O Wireshark é atualmente o analisador de protocolos de rede mais utilizado mundo
afora, ele analisa de forma bem intuitiva e completa o tráfego IP desde um simples
computador doméstico com acesso a Internet a redes corporativas gigantescas com
terá bits de dados circulando a cada fração de segundo, segundo (Browning, 2020) o
entendimento de como o tráfego IP atravessa a rede é pré-requisito comum a todos
os profissionais de TI da atualidade. A captura de dados que atravessam uma rede
de computadores é também conhecida como sniffing, ou em tradução livre
“farejando”, que remete a ação de um cão farejador que procura por pistas de um
suposto criminoso pelo seu rastro de odor. Pois é snifando o tráfego de rede que nos
permite capturar tudo que é transmitido e recebido em uma interface de rede. Paul
Browing descreve em seu livro:

A captura de tráfego tambem conhecida como sniffing é uma abilidade vital

para quaquer engenheiro de rede pois permite a voce: fazer o baseline da
rede, rastrear falhas, encontrar a causa raíz de problemas, detectar ataques
de rede, encontrar problemas de DHCP, DNS, HTTP e Email, rastrear e
solucionar problemas de voz, video e Wifi. (Browning, 2020)

O Wireshark possui código aberto, é grátis e compatível com a maioria dos sistemas
operacionais Linux e Windows, ele está disponível para download em
https://www.wireshark.org/download.html, mas vale ressaltar que é necessário um
conhecimento prévio da família de protocolos TCP/IP e redes Ethernet para
compreender todos os detalhes revelados pelo Wireshark, conhecimento este que
não é o objeto de estudo deste artigo.

4. Remnux
O Remnux é uma distribuição Linux que consiste em um Toolkit voltado a análise de
programas maliciosos, ele possui diversas ferramentas de engenharia reversa e
dissecação de software que permitem a pesquisadores a análise de Malware. Ele foi
lançado em 2010 pelo pesquisador da SANS Lenny Zeltser que até hoje mantém a
distribuição. A última versão do Remnux é v7 lançada em 2020 conforme (Zeltser,
2021), ela possui uma série de ferramentas forensis largamente difundidas no meio,
tais como:
• Sleuth Kit: Analisador de imagens de disco
• wxHexEditor: Editor hexadecimal
• 7-Zip: Compactador/descompactador de arquivos
• Hash ID: Identificador de tipos de hash
• ExifTool: Editor de metadados
• TrID: Identificador de arquivos por assinatura
• Wireshark: Analisador de protocolos e pacotes de rede
 9

• Manalyze: Analisador de arquivos PE

• Pedump: Analisador e extrator de arquivos PE
• Pyelftools: Analisador de arquivos ELF
• Malchive: Analisador de arquivos maliciosos

Em nosso estudo focaremos na ferramenta Wireshark que já vem instalada no

Remnux para fazermos a análise da captura de pacotes na tentativa de identificar o
Malware contido na mesma.

5. Oracle VirtualBox
A virtualização de máquinas físicas é extensivamente utilizada em todos os tipos de
servidores, sejam eles de aplicação, rede, banco de dados, etc. Ela permite que
várias máquinas virtuais com os mais diversos sistemas operacionais coexistam
harmoniosamente dentro de uma ou mais máquinas físicas, otimizando recursos de
hardware como memória, processamento, armazenamento, consumo de energia e
até espaço físico. Porém por muitas vezes precisamos de vários sistemas
operacionais em nosso próprio computador pessoal devido as particularidades de
cada um. Segundo Robert Collins em seu livro VirtualBox Guide for Beginners:

O VirtualBox é uma aplicação de código aberto e multiplataforma utilizada

para o gerenciamento de máquinas virtuais (VMs) . Uma máquina virtual se
refere a um computador o qual seus componentes de hardware são
emulados por um computador hospedeiro que está rodando o programa.
Você pode rodar o VirtualBox no Windows, Linux, Mac OS X e Solaris.
(Collins, 2017)

Utilizaremos o VirtuaBox instalado em uma estação Windows 10 para executar uma

VM contendo o Remnux v7, pois considerando que vamos analisar softwares
suspeitos ou maliciosos, podemos isolar o Malware em um sistema operacional
imune à sua intrusão dentro do nosso próprio computador pessoal sem risco de
contaminação ou vazamento.
 10

6. Análise do Malware Nanocore RAT

Iniciamos nossa análise com a preparação do ambiente seguro, como já explicado
anteriormente o Nanocore originalmente foi desenvolvido e comercializado com uma
ferramenta de gerenciamento remoto de sistemas Windows e posteriormente com o
vazamento de seu código fonte passou a ser utilizado por Hackers como um trojan
de acesso remoto (RAT), portanto a análise será feita dentro do Oracle Virtual Box
onde temos uma Virtual Machine (VM) do Remnux virtualizada.

Figura 8: Oracle Vitual Box com a VM do Remnux instalada

Já com a VM do Remnux em execução e com acesso a Internet baixamos um

arquivo de captura de pacotes pcap com o Nanocore RAT a partir do site Malware
Traffic Analysis (malware-traffic-analysis.net, 2021),

Figura 9: Link do arquivo pcap do Nonocore RAT

Fonte: (malware-traffic-analysis.net, 2021)
 11

Para não corrermos nenhum risco de vazamento do Malware pela rede

compartilhada do Virtual Box com a estação Windows que o executa desativamos a
Interface de rede do Remnux logo após baixarmos o arquivo contendo o Malware.

Figura 10: Desativando a interface de rede do Remnux

Como o arquivo pcap contem o trafego de pacotes de rede no qual o Nanocore RAT
foi baixado para o sistema invadido algumas aplicações de Antivírus podem detecta-
lo como Malware e bloquear ou excluir o arquivo. Para evitar isso o arquivo é
disponibilizado como .zip com senha impedindo que o antivírus o acesse e verifique
que existe uma ameaça dentro do mesmo. Como estamos fazendo a análise dentro
de um ambiente seguro Linux bastou baixar o arquivo .zip e descompacta-lo com a
senha “infected” fornecida pelo próprio site Malware Traffic Analysis.

Figura 11: Arquivo .zip baixado originalmente e o pcap descompactado do mesmo

 12

Feito isso abrimos o arquivo pcap já descompactado dentro do Wireshark, ele

mostra em sua tela inicial um sumário de todos os pacotes enviados e recebidos
pelo computador que foi objeto do ataque do Maware. Não entraremos aqui do
detalhamento do encapsulamento dos pacotes dentro dos quadros ethernet, o foco
da análise serão as Protocol Data Units (PDUs) de rede, transporte e aplicação.

Figura 12: Wireshark com a captura de pacotes contendo o Nanocore RAT

Nas propriedades de captura podemos ver alguns detalhes importantes para a

análise, como o Hash SHA1, formato do arquivo, datas do primeiro e último pacotes
capturados, número de pacotes, tempo decorrido, tamanho, etc.

Figura 13: Características do arquivo pcap contendo o Malware

 13

Logo em primeira vista vemos no primeiro pacote uma DNS query na porta 53 UDP
em busca do domínio www.mercedes-club-bg.com que parte do endereço IP do
computador vítima 10.12.3.101 para seu servidor de DNS e provável Gateway
10.12.3.1.

Figura 14: DNS query buscando o domínio www.mercedes-club-bg.com

Em resposta a requisição de resolução de nome DNS foi enviado um segundo

pacote UDP com IP de origem do servidor de DNS 10.12.3.1 para o IP do
computador da vítima 10.12.3.101, contendo o endereço IP 217.18.244.196 do
referido domínio.

Figura 15: DNS response com o IP do domínio solicitado pela query

 14

Verificando a URL www.mercedes-club-bg.com no site (Virustotal, 2021), que

analisa arquivos e sites quanto a atuação de Malwares, constatamos 4 marcações
do referido site como malicioso e 2 como suspeito.

Figura 16: verificação do site www.mercedes-club-bg.com no Virustotal

A partir do terceiro pacote podemos ver uma conexão TCP estabelecida, ao aplicar a
função Follow TCP Stream no Wireshark podemos verificar logo em sua primeira
linha uma requisição de arquivo “GET //david/mko.exe HTTP/1.1” que solicita o
download do arquivo “mko.exe” na pasta “david” ao site www.mercedes-club-
bg.com.

Figura 17: TCP stream do terceiro pacote do pcap analisado

 15

Com uma rápida pesquisa no site (urlhaus, 2021) podemos confirmar tanto o IP
217.18.244.196 resolvido pelo DNS na Figura 15 quanto a Tag do Nanocore
marcando o domínio www.mercedes-club-bg.com como uma Malware URL.

Figura 18: Consulta do arquivo mko.exe

Fonte: (urlhaus, 2021)

Munidos de tais informações somos agora capazes de extrair o arquivo original do

Malware contido no TCP stream a partir da função “File -> Export Objects -> HTTP”
do Wireshark.

Figura 19: Extração do arquivo mko.exe da captura de pacotes

 16

Com o arquivo mko.exe salvo em uma pasta local do Remnux podemos agora
calcular seu Hash MD5, que consiste em um algoritmo de sumarização que gera um
valor Hash de 128 bits expresso na forma de 32 caracteres, para fins de confirmação
de sua identidade.

Figura 20: Arquivo mko.exe salvo no Remnux

Para executar o cálculo do Hash MD5 abrimos um terminal dentro da pasta

Downloads, onde se encontra o arquivo mko.exe extraído da captura de pacotes,
então executamos o comando “md5sum mko.exe” obtendo assim o Hash
“f4e3fa4b3563a526f70b51eb17ba4310”.

Figura 21: Cálculo do Hash MD5 do arquivo do Malware

 17

Na posse do Hash MD5 ‘f4e3fa4b3563a526f70b51eb17ba4310” do arquivo mko.exe

extraído da captura de pacotes foi feita uma consulta no site (any.run, 2021) na
tentativa de se confirmar se o arquivo realmente trata-se do Malware Nanocore RAT.

Figura 22: Confirmação do Hash MD5 do arquivo mko.exe com o Nanocore

Fonte: (any.run, 2021)

Então por fim confirmamos que o arquivo mko.exe baixado do site www.mercedes-
club-bg.com contido na captura de pacotes analisada e extraída no Wireshark é
realmente o Malware Nanocore RAT.

Conclusão
Verificando os resultados do estudo concluímos que é sim possível identificar o
Malware Nanocore RAT através da análise da captura do tráfego de rede pelo
Wireshark. Executando a análise em um ambiente virtualizado pelo VirtualBox,
rodando em um computador com Windows 10, com a distribuição Linux Remnux
conseguimos construir um ambiente seguro que impossibilita a intrusão do Malware
bem como seu vazamento para a estação Windows. De posse da captura de
pacotes pcap contendo a intrusão do Malware pudemos identificar sua URL, IP de
origem, data de intrusão e constatar que os mesmos já estão associados a atividade
 18

do Nanocore. ao reconstruir a cadeia TCP no qual o RAT foi baixado pudemos

extraí-lo com sucesso a partir da mesma. Por fim calculando o Hash do arquivo
mko.exe foi possível confirmar positivamente sua identidade em uma rápida
pesquisa em site especializado. Portanto podemos concluir que atingimos o
objetivo proposto do estudo confirmando a origem e identidade do Malware
Nanocore RAT contido na captura de pacotes de rede objeto do estudo.

Referências

ANY.RUN. (14 de Novembro de 2021). Interactive malware hunting service.

Fonte: https://any.run/:
https://any.run/report/4d7bd1164b4311a26e08febe47acde731ab8075be489c809f347
74f7375124cc/23a105fd-3e04-41a9-b8ea-78c9b767d685

BALANZA, M. A. (23 de Março de 2015). Endpoint Protection. Fonte:

www.symantec.com: https://www.symantec.com/connect/blogs/nanocore-another-
rat-tries-make-it-out-gutter

BITTON, T. (13 de Abril de 2015). NANOCORE RAT: IT’S NOT 100% ORIGINAL.
Fonte: blog.ensilo.com:
https://web.archive.org/web/20191028191947/https://blog.ensilo.com/nanocore-rat-
not-100-original

BROWNING, P. (2020). 101 Labs Wireshark WCNA. Londres: Reality Press Ltd.

CHIU, A., & UGARTE , X. P. (25 de Agosto de 2015). Malware Meets SysAdmin –
Automation Tools Gone Bad. Fonte: blogs.cisco.com:
https://blogs.cisco.com/security/talos/sysadmin-phish

COLLINS, R. (2017). VirtualBox Guide for Beginners. Scotts Valley: Createspace.

DUNCAN, B. (20 de Outubro de 2016). Malspam delivers NanoCore RAT. Fonte:

isc.sans.edu:
https://isc.sans.edu/forums/diary/Malspam+delivers+NanoCore+RAT/21615/]

INTERNET ARCHIVE. (16 de 07 de 2016). Internet Archive Wayback Machine.

Fonte: web.archive.org:
https://web.archive.org/web/20160716184005/https://nanocore.io/

J. S., & ROMMEL Joven . (12 de Outubro de 2017). PDF Phishing Leads to
Nanocore RAT, Targets French Nationals. Fonte: www.fortinet.com:
https://www.fortinet.com/blog/threat-research/pdf-phishing-leads-to-nanocore-rat-
targets-french-nationals.html

KASZA, A. (9 de Fevereiro de 2016). NanoCoreRAT Behind an Increase in Tax-

Themed Phishing E-mails. Fonte: paloaltonetworks.com:
 19

https://unit42.paloaltonetworks.com/nanocorerat-behind-an-increase-in-tax-themed-
phishing-e-mails/

MALWARE-TRAFFIC-ANALYSIS.NET. (20 de Outubro de 2021). A source for pcap

files and malware samples. Fonte: malware-traffic-analysis.net:
https://www.malware-traffic-analysis.net/training/display-filter-expressions.html

POULSEN, K. (10 de Abril de 2017). FBI Arrests Hacker Who Hacked No One.
Fonte: www.thedailybeast.com: https://www.thedailybeast.com/fbi-arrests-hacker-
who-hacked-no-one

THE UNITED STATES DEPARTMENT OF JUSTICE. (23 de Fevereiro de 2018).

Arkansas Man Sentenced to Prison for Developing and Distributing Prolific
Malware. Fonte: www.justice.gov: https://www.justice.gov/opa/pr/arkansas-man-
sentenced-prison-developing-and-distributing-prolific-malware

URLHAUS. (14 de Novembro de 2021). URLhaus Database. Fonte:

urlhaus.abuse.ch: https://urlhaus.abuse.ch/host/www.mercedes-club-bg.com/

VALEROS, V. (7 de Setembro de 2018). What do we know about NanoCore RAT?

A review. Fonte: www.stratosphereips.org:
https://www.stratosphereips.org/blog/2018/9/7/what-do-we-know-about-nanocore-rat-
a-review

VIRUSTOTAL. (14 de Novembro de 2021). Analyze suspicious files and URLs to

detect types of malware. Fonte: www.virustotal.com:
https://www.virustotal.com/gui/home/upload

ZELTSER, L. (14 de Novembro de 2021). Lenny Zeltser. Fonte:

https://www.sans.org/: https://www.sans.org/profiles/lenny-zeltser/