ネルビアンRATはヨーロッパの犠牲者を標的
最近、セキュリティ研究者によってマルウェアの新種が文書化されました。この脅威はネルビアンと呼ばれ、リモートアクセス型トロイの木馬に典型的な機能を備えているため、フルネームはネルビアンRATです。
おそらくパーティーに少し遅れて、Nerbian RATは、Covid-19に関連するルアーを使用するフィッシングメールキャンペーンを通じて広まっています。キャンペーンの量が比較的少ないことを考えると、キャンペーンはターゲットにされているようです。研究者たちは、フィッシングキャンペーンの開始を2022年4月の最後の週として特定しました。
このマルウェアには、「いくつかの暗号化ルーチン」など、自動検出を回避するのに役立つ多くの機能があります。
悪意のある電子メールは、世界保健機関から発信されたふりをして、悪意のあるドキュメントファイルが添付されています。このファイルには、Covidの症状がある場合に行うべきことの箇条書きリストと、適切に自己分離する方法の説明、およびドキュメントのテキストを表示する前に実行の許可を求める悪意のあるマクロが含まれています。
マクロが実行されると、「UpdateUAV.exe」という名前の悪意のある実行可能ファイルがダウンロードされます。これは、NerbianRAT攻撃チェーンのドロッパーコンポーネントです。最終的なペイロードは、「MoUsoCore.exe」という名前のファイルに含まれています。
マルウェアには、分析ツールやデバッガーがマルウェアと対話しようとした場合にプロセスをシャットダウンする機能が備わっています。
Nerbian RAT自体には、キーボード入力のログ記録、スクリーンショットの取得、リモートコマンドの受け入れ、C2サーバーへのデータの盗用などの適切な機能があります。
RATは、スペイン、イタリア、英国など、ヨーロッパのいくつかの国のエンティティをターゲットにするために使用されました。