Nanoremote Windows-backdoor
A Nanoremote egy új, teljes értékű Windows-backdoor, amelyet az Elastic Security Labs fedezett fel 2025 októberében. A káros program erős hasonlóságot mutat a korábban ismert Finaldraft (Squidoor) implantátummal, és valószínűleg ugyanattól a kiberszereplőtől származik, akik a REF7707 dokumentumban leírt malware-t is fejlesztették. A Nanoremote főleg azért figyelemreméltó, mert a C2 kommunikációhoz a Google Drive API-t használja, ami lehetővé teszi a támadóknak, hogy titokban irányítsák a fertőzött rendszereket, és adatok lopására használják a szolgáltatást.
A fertőzési láncolat két fő komponensből áll: egy betöltő (Wmloader) és a mag a Nanoremote. A Wmloader egy Bitdefender Security programnak álcázza magát (BDReinit.exe néven), de érvénytelen digitális aláírással rendelkezik, ami gyanút kelthet. A Nanoremote magában foglalja a Google Drive API-n keresztül történő adatok titkosított, Zlib-tömörítést és AES-CBC-vel kódolt kommunikációját, ahol a kérések a /api/client végponton keresztül, NanoRemote/1.0 User-Agenttel mennek végbe.
Az Elastic Security Labs szerint a Nanoremote és a Finaldraft közötti kódhasonlóság és fejlesztési környezet erős jeleit mutatja, hogy ugyanaz a támadócsoport állhat mindkét eszköz mögött. A malware azért veszélyes, mert a legitim Google Drive API használata miatt nehéz észrevenni a hálózati forgalomban, és a legtöbb biztonsági megoldás nem jelzi automatikusan a gyanús tevékenységet.
