Nerbian RAT prende di mira le vittime in Europa

Un nuovo ceppo di malware è stato recentemente documentato dai ricercatori della sicurezza. La minaccia si chiamava Nerbian e presenta caratteristiche tipiche dei trojan di accesso remoto, da cui il nome completo Nerbian RAT.

Forse un po' in ritardo per la festa, Nerbian RAT viene diffuso attraverso una campagna di posta elettronica di phishing che utilizza esche legate al Covid-19. La campagna sembra essere stata presa di mira, dato il suo volume relativamente basso. I ricercatori hanno individuato l'inizio della campagna di phishing nell'ultima settimana di aprile 2022.

Il malware ha una serie di funzionalità che lo aiutano a evitare il rilevamento automatico, tra cui "diverse routine di crittografia".

Le e-mail dannose fingono di provenire dall'Organizzazione Mondiale della Sanità e contengono un file di documento dannoso allegato. Il file include elenchi puntati di cose da fare se si hanno sintomi di Covid e istruzioni su come autoisolarsi correttamente, oltre a macro dannose che chiederanno il permesso di essere eseguite prima di visualizzare il testo del documento.

Una volta eseguita, la macro scarica un eseguibile dannoso denominato "UpdateUAV.exe". Questo è il componente contagocce della catena di attacco Nerbian RAT. Il payload finale è contenuto in un file chiamato "MoUsoCore.exe".

Il malware è dotato di funzionalità che arrestano il processo se strumenti analitici e debugger tentano di interagire con esso.

Nerbian RAT stesso ha capacità decenti, tra cui la registrazione di input da tastiera, l'acquisizione di schermate e l'accettazione di comandi remoti, nonché l'esfiltrazione dei dati sui suoi server C2.

Il RAT è stato utilizzato per prendere di mira entità in diversi paesi europei, tra cui Spagna, Italia e Regno Unito.

May 12, 2022