Nerbian RAT cible des victimes en Europe

Une nouvelle souche de malware a récemment été documentée par des chercheurs en sécurité. La menace s'appelait Nerbian et présentait des caractéristiques typiques d'un cheval de Troie d'accès à distance, d'où le nom complet Nerbian RAT.

Peut-être un peu tard à la fête, Nerbian RAT se propage par le biais d'une campagne d'e-mails de phishing qui utilise des leurres liés à Covid-19. La campagne semble avoir été ciblée, compte tenu de son volume relativement faible. Les chercheurs ont identifié le début de la campagne de phishing comme la dernière semaine d'avril 2022.

Le logiciel malveillant possède un certain nombre de fonctionnalités qui l'aident à éviter la détection automatisée, y compris "plusieurs routines de chiffrement".

Les e-mails malveillants prétendent provenir de l'Organisation mondiale de la santé et contiennent un fichier de document malveillant en pièce jointe. Le fichier comprend des listes à puces de choses à faire si vous avez des symptômes de Covid et des instructions sur la façon de vous isoler correctement, ainsi que des macros malveillantes qui demanderont l'autorisation de s'exécuter avant d'afficher le texte du document.

Une fois la macro exécutée, elle télécharge un exécutable malveillant nommé "UpdateUAV.exe". C'est le composant dropper de la chaîne d'attaque Nerbian RAT. La charge utile finale est contenue dans un fichier nommé "MoUsoCore.exe".

Le logiciel malveillant est équipé d'une fonctionnalité qui arrêtera le processus si des outils d'analyse et des débogueurs tentent d'interagir avec lui.

Nerbian RAT lui-même a des capacités décentes, y compris la journalisation des entrées au clavier, la prise de captures d'écran et l'acceptation de commandes à distance, ainsi que l'exfiltration de données vers ses serveurs C2.

Le RAT a été utilisé pour cibler des entités dans plusieurs pays européens, dont l'Espagne, l'Italie et le Royaume-Uni.