Nerbian RAT zielt auf Opfer in Europa ab

Sicherheitsforscher haben kürzlich einen neuen Malware-Stamm dokumentiert. Die Bedrohung hieß Nerbian und weist Merkmale auf, die für Fernzugriffstrojaner typisch sind, daher der vollständige Name Nerbian RAT.

Vielleicht etwas spät zur Party, wird Nerbian RAT über eine Phishing-E-Mail-Kampagne verbreitet, die Köder im Zusammenhang mit Covid-19 verwendet. Die Kampagne scheint angesichts ihres relativ geringen Volumens zielgerichtet gewesen zu sein. Die Forscher haben den Beginn der Phishing-Kampagne auf die letzte Aprilwoche 2022 festgelegt.

Die Malware verfügt über eine Reihe von Funktionen, die ihr helfen, eine automatische Erkennung zu vermeiden, darunter „mehrere Verschlüsselungsroutinen“.

Die bösartigen E-Mails geben vor, von der Weltgesundheitsorganisation zu stammen und enthalten eine bösartige Dokumentdatei im Anhang. Die Datei enthält Listen mit Aufzählungszeichen von Dingen, die zu tun sind, wenn Sie Covid-Symptome und Anweisungen zur ordnungsgemäßen Selbstisolierung haben, sowie bösartige Makros, die um Erlaubnis zur Ausführung bitten, bevor der Text des Dokuments angezeigt wird.

Sobald das Makro ausgeführt wird, lädt es eine bösartige ausführbare Datei namens „UpdateUAV.exe“ herunter. Dies ist die Dropper-Komponente der Nerbian RAT-Angriffskette. Die endgültige Nutzlast ist in einer Datei namens „MoUsoCore.exe“ enthalten.

Die Malware ist mit Funktionen ausgestattet, die den Prozess beenden, wenn Analysetools und Debugger versuchen, mit ihr zu interagieren.

Nerbian RAT selbst verfügt über anständige Fähigkeiten, darunter das Protokollieren von Tastatureingaben, das Erstellen von Screenshots und das Akzeptieren von Remote-Befehlen sowie das Exfiltrieren von Daten auf seine C2-Server.

Die RAT wurde verwendet, um Unternehmen in mehreren europäischen Ländern anzugreifen, darunter Spanien, Italien und das Vereinigte Königreich.