อาชญากรไซเบอร์กำลังใช้วิธีใหม่ในการเลี่ยงการตรวจจับ RAT (Remote Access Trojan) เพื่อเข้าถึงไฟล์ที่เก็บไว้และทรัพยากรของคอมพิวเตอร์ของเหยื่อ หนูติดเชื้อในระบบเมื่อผู้ใช้เปิดไฟล์แนบอีเมลที่เป็นอันตรายหรือดาวน์โหลดไฟล์ใด ๆ จากเว็บไซต์หรือเครือข่ายเพียร์ทูเพียร์
[dropcap][/dropcap] อาชญากรใช้ Remote Access โทรจัน (RAT) เป็นเวลาหลายปีเพื่อเข้าถึงไฟล์และทรัพยากรที่เก็บไว้ เช่น กล้อง ไมโครโฟน ฯลฯ บนคอมพิวเตอร์ของเหยื่อ ตามเนื้อผ้า หนู ติดไวรัสระบบเมื่อผู้ใช้เปิดไฟล์แนบอีเมลที่เป็นอันตรายหรือดาวน์โหลดไฟล์ใด ๆ จากเว็บไซต์หรือเครือข่ายเพียร์ทูเพียร์ การโจมตีเวกเตอร์ทั้งสองเกี่ยวข้องกับการใช้ไฟล์เพื่อดาวน์โหลดไฟล์มัลแวร์ ดังนั้นการโจมตีดังกล่าวจึงตรวจพบได้ง่ายขึ้น
ตามที่นักวิจัยของบริษัทรักษาความปลอดภัยในโลกไซเบอร์ SentinelOneอาชญากรไซเบอร์เริ่มใช้เทคนิคใหม่ในการแพร่กระจายโทรจันจากระยะไกลไปยังโซลูชันการรักษาความปลอดภัยบายพาส วิธีที่ผู้โจมตีใช้ช่วยให้พวกเขาดาวน์โหลดเพย์โหลดลงในหน่วยความจำและข้ามการป้องกันไวรัส ซอฟต์แวร์ และเทคโนโลยีสมัยใหม่ที่สามารถตรวจจับเฉพาะภัยคุกคามตามไฟล์
วิธีการใหม่ประกอบด้วยว่าในระหว่างการดำเนินการเพย์โหลดที่เป็นอันตราย (ไฟล์) อยู่ในหน่วยความจำและไม่โต้ตอบกับดิสก์ในรูปแบบที่ไม่ได้เข้ารหัส นักวิจัยเน้นว่าสิ่งใหม่นี้ไม่ใช่โทรจันในการเข้าถึงและตรวจจับผู้บุกรุกที่ใช้วิธีแก้ปัญหาจากระยะไกล อย่างที่โลกไซเบอร์ ความปลอดภัย บริษัท SentinelOne ได้วิเคราะห์วิธีการติดไวรัสจากตัวอย่าง Trojan NanoCore แต่ก็เหมาะสำหรับ RAT อื่นๆ ที่เป็นที่รู้จักเช่นกัน
หลังจากทำงานบนระบบ มัลแวร์จะคัดลอกตัวเองไปยังเหยื่อใน “% APPDATA% \ Microsoft \ Blend \ 14.0 \ FeedCache \ nvSCPAPISrv.exe” แยกรหัส “PerfWatson.exe” ตัวที่สองและดำเนินการทั้งสองอย่าง รหัส ไลบรารีลิงก์ไดนามิกที่เข้ารหัส (DDL) มีหน้าที่ในการเปิดออกและใช้งาน หนูถอดรหัสและคัดลอกไปยังหน่วยความจำ การตั้งค่าสำหรับ DDL และรหัสปฏิบัติการ นาโนคอร์ เข้ารหัสที่เก็บไว้ในไฟล์ PNG หลายไฟล์ในรูปแบบของข้อมูลพิกเซล หลังจากถอดรหัสส่วนประกอบทั้งหมดของเพย์โหลดของโทรจันแล้ว จะถูกฝังอยู่ในกระบวนการใหม่โดยใช้ “Win32 API”
วิธีการที่อธิบายโดยนักวิจัยหลบเลี่ยงการตรวจจับและได้ใช้สำเร็จโดย อาชญากรไซเบอร์ ระหว่างการโจมตีที่ได้รับการสนับสนุนจากรัฐบาลต่อสถาบันต่างๆ ในเอเชีย