Nerbian RAT taikosi į aukas Europoje

Neseniai saugumo tyrinėtojai užfiksavo naują kenkėjiškų programų atmainą. Grėsmė buvo pavadinta Nerbian ir pasižymi būdingomis nuotolinės prieigos Trojos arkliams ypatybėmis, todėl visas pavadinimas Nerbian RAT.

Galbūt šiek tiek pavėluotai į vakarėlį, Nerbian RAT plinta per sukčiavimo el. pašto kampaniją, kurioje naudojami su Covid-19 susiję masalai. Atrodo, kad kampanija buvo tikslinga, atsižvelgiant į palyginti mažą jos apimtį. Tyrėjai nurodė, kad sukčiavimo kampanijos pradžia yra paskutinė 2022 m. balandžio mėn.

Kenkėjiška programa turi daugybę funkcijų, padedančių išvengti automatinio aptikimo, įskaitant „kelias šifravimo procedūras“.

Kenkėjiški el. laiškai apsimeta, kad jie kilę iš Pasaulio sveikatos organizacijos, ir juose yra pridėtas kenksmingas dokumento failas. Faile yra su ženkleliais suskirstyti sąrašai dalykų, kuriuos reikia atlikti, jei turite Covid simptomų, ir instrukcijos, kaip tinkamai izoliuotis, taip pat kenkėjiškos makrokomandos, kurios paprašys leidimo vykdyti prieš rodant dokumento tekstą.

Kai makrokomanda vykdoma, ji atsisiunčia kenkėjišką vykdomąjį failą pavadinimu „UpdateUAV.exe“. Tai yra Nerbian RAT atakų grandinės lašinamasis komponentas. Galutinė naudingoji apkrova yra faile, pavadintame „MoUsoCore.exe“.

Kenkėjiška programinė įranga turi funkciją, kuri išjungs procesą, jei analizės įrankiai ir derinimo priemonės bandys su ja sąveikauti.

Pati Nerbian RAT turi tinkamas galimybes, įskaitant klaviatūros įvesties registravimą, ekrano kopijų darymą ir nuotolinių komandų priėmimą, taip pat duomenų išfiltravimą į savo C2 serverius.

RAT buvo naudojamas siekiant taikyti subjektus keliose Europos šalyse, įskaitant Ispaniją, Italiją ir Jungtinę Karalystę.