A nerbiai RAT az áldozatokat célozza meg Európában

A rosszindulatú programok új törzsét nemrégiben dokumentálták biztonsági kutatók. A fenyegetést Nerbiannak hívták, és a távelérési trójaikra jellemző tulajdonságokat mutat, innen ered a Nerbian RAT teljes neve.

Talán egy kicsit későn a bulihoz, a Nerbian RAT-ot egy adathalász e-mail kampányon keresztül terjesztik, amely Covid-19-hez kapcsolódó csalikat használ. Úgy tűnik, hogy a kampány célzott volt, tekintettel viszonylag alacsony volumenére. A kutatók az adathalász kampány kezdetét 2022 áprilisának utolsó hetében határozták meg.

A kártevő számos olyan funkcióval rendelkezik, amelyek segítenek elkerülni az automatikus észlelést, beleértve a "több titkosítási rutint".

A rosszindulatú e-mailek úgy tesznek, mintha az Egészségügyi Világszervezettől származnának, és egy rosszindulatú dokumentumfájlt tartalmaznak. A fájl felsorolja azokat a teendőket, amelyeket a Covid-tünetek észlelése esetén kell megtenni, és utasításokat tartalmaz a megfelelő önizolációhoz, valamint olyan rosszindulatú makrókat, amelyek engedélyt kérnek a végrehajtáshoz a dokumentum szövegének megjelenítése előtt.

A makró végrehajtása után letölt egy „UpdateUAV.exe” nevű rosszindulatú végrehajtható fájlt. Ez a Nerbian RAT támadási lánc dropper összetevője. A végső hasznos adatot egy "MoUsoCore.exe" nevű fájl tartalmazza.

A rosszindulatú program olyan funkcióval rendelkezik, amely leállítja a folyamatot, ha elemző eszközök és hibakeresők megpróbálnak kapcsolatba lépni vele.

Maga a Nerbian RAT megfelelő képességekkel rendelkezik, beleértve a billentyűzet bemeneteinek naplózását, képernyőképek készítését és távoli parancsok elfogadását, valamint az adatok kiszűrését a C2 szerverekre.

A RAT-ot több európai országban, köztük Spanyolországban, Olaszországban és az Egyesült Királyságban működő entitások megcélzására használták.