Nerbian RAT apunta a las víctimas en Europa

Los investigadores de seguridad han documentado recientemente una nueva variedad de malware. La amenaza se llamó Nerbian y exhibe características típicas de un troyano de acceso remoto, de ahí el nombre completo Nerbian RAT.

Quizás un poco tarde para la fiesta, Nerbian RAT se está difundiendo a través de una campaña de correo electrónico de phishing que utiliza señuelos relacionados con Covid-19. La campaña parece haber sido dirigida, dado su volumen relativamente bajo. Los investigadores señalaron el inicio de la campaña de phishing como la última semana de abril de 2022.

El malware tiene una serie de características que lo ayudan a evitar la detección automática, incluidas "varias rutinas de cifrado".

Los correos electrónicos maliciosos pretenden provenir de la Organización Mundial de la Salud y contienen un archivo de documento malicioso adjunto. El archivo incluye listas con viñetas de cosas que hacer si tiene síntomas de Covid e instrucciones sobre cómo autoaislarse correctamente, así como macros maliciosas que solicitarán permiso para ejecutarse antes de mostrar el texto del documento.

Una vez que se ejecuta la macro, descarga un ejecutable malicioso llamado "UpdateUAV.exe". Este es el componente cuentagotas de la cadena de ataque Nerbian RAT. La carga útil final está contenida en un archivo llamado "MoUsoCore.exe".

El malware está equipado con una funcionalidad que cerrará el proceso si las herramientas analíticas y los depuradores intentan interactuar con él.

Nerbian RAT en sí tiene capacidades decentes, que incluyen registrar entradas de teclado, tomar capturas de pantalla y aceptar comandos remotos, así como filtrar datos a sus servidores C2.

La RAT se utilizó para apuntar a entidades en varios países europeos, incluidos España, Italia y el Reino Unido.