Το Nerbian RAT στοχεύει θύματα στην Ευρώπη

Ένα νέο είδος κακόβουλου λογισμικού τεκμηριώθηκε πρόσφατα από ερευνητές ασφαλείας. Η απειλή ονομαζόταν Nerbian και παρουσιάζει χαρακτηριστικά χαρακτηριστικά του trojan απομακρυσμένης πρόσβασης, εξ ου και το πλήρες όνομα Nerbian RAT.

Ίσως λίγο αργά στο πάρτι, το Nerbian RAT διαδίδεται μέσω μιας καμπάνιας ηλεκτρονικού ψαρέματος που χρησιμοποιεί δέλεαρ που σχετίζονται με τον Covid-19. Η καμπάνια φαίνεται να έχει στοχοποιηθεί, δεδομένου του σχετικά χαμηλού όγκου της. Οι ερευνητές εντόπισαν την έναρξη της εκστρατείας phishing ως την τελευταία εβδομάδα του Απριλίου 2022.

Το κακόβουλο λογισμικό έχει μια σειρά από χαρακτηριστικά που το βοηθούν να αποφύγει τον αυτοματοποιημένο εντοπισμό, συμπεριλαμβανομένων «αρκετών ρουτινών κρυπτογράφησης».

Τα κακόβουλα email προσποιούνται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας και περιέχουν επισυναπτόμενο αρχείο κακόβουλου εγγράφου. Το αρχείο περιλαμβάνει λίστες με κουκκίδες με πράγματα που πρέπει να κάνετε εάν έχετε συμπτώματα Covid και οδηγίες για το πώς να απομονωθείτε σωστά, καθώς και κακόβουλες μακροεντολές που θα ζητούν άδεια εκτέλεσης πριν εμφανιστεί το κείμενο του εγγράφου.

Μόλις εκτελεστεί η μακροεντολή, κατεβάζει ένα κακόβουλο εκτελέσιμο αρχείο με το όνομα "UpdateUAV.exe". Αυτό είναι το σταγονόμετρο της αλυσίδας επίθεσης Nerbian RAT. Το τελικό ωφέλιμο φορτίο περιέχεται σε ένα αρχείο με το όνομα "MoUsoCore.exe".

Το κακόβουλο λογισμικό είναι εξοπλισμένο με λειτουργικότητα που θα τερματίσει τη διαδικασία εάν τα αναλυτικά εργαλεία και τα προγράμματα εντοπισμού σφαλμάτων επιχειρήσουν να αλληλεπιδράσουν μαζί του.

Το ίδιο το Nerbian RAT έχει αξιοπρεπείς δυνατότητες, όπως καταγραφή εισόδων από το πληκτρολόγιο, λήψη στιγμιότυπων οθόνης και αποδοχή απομακρυσμένων εντολών, καθώς και εξαγωγή δεδομένων στους διακομιστές του C2.

Το RAT χρησιμοποιήθηκε για τη στόχευση οντοτήτων σε πολλές ευρωπαϊκές χώρες, συμπεριλαμβανομένης της Ισπανίας, της Ιταλίας και του Ηνωμένου Βασιλείου.

May 12, 2022