Nerbisk RAT retter sig mod ofre i Europa

En ny stamme af malware er for nylig blevet dokumenteret af sikkerhedsforskere. Truslen blev kaldt Nerbian og udviser træk, der er typiske for fjernadgangstrojaner, deraf det fulde navn Nerbian RAT.

Måske lidt sent til festen, bliver Nerbian RAT spredt gennem en phishing-e-mail-kampagne, der bruger lokker relateret til Covid-19. Kampagnen ser ud til at have været målrettet på grund af dens relativt lave volumen. Forskere udpegede starten på phishing-kampagnen som den sidste uge af april 2022.

Malwaren har en række funktioner, der hjælper den med at undgå automatisk registrering, herunder "flere krypteringsrutiner".

De ondsindede e-mails foregiver at stamme fra Verdenssundhedsorganisationen og indeholder en vedhæftet ondsindet dokumentfil. Filen indeholder punktlister over ting, du skal gøre, hvis du har Covid-symptomer og instruktioner om, hvordan du isolerer dig korrekt, såvel som ondsindede makroer, der vil bede om tilladelse til at udføre, før du viser dokumentets tekst.

Når makroen er kørt, downloader den en ondsindet eksekverbar fil med navnet "UpdateUAV.exe". Dette er dropper-komponenten i den nerbiske RAT-angrebskæde. Den endelige nyttelast er indeholdt i en fil med navnet "MoUsoCore.exe".

Malwaren er udstyret med funktionalitet, der vil lukke processen ned, hvis analytiske værktøjer og fejlfindere forsøger at interagere med den.

Nerbian RAT selv har anstændige muligheder, herunder at logge tastaturinput, tage skærmbilleder og acceptere fjernkommandoer samt at eksfiltrere data til sine C2-servere.

RAT blev brugt til at målrette mod enheder i flere europæiske lande, herunder Spanien, Italien og Storbritannien.