Nerbisk RAT retter seg mot ofre i Europa

En ny stamme av skadelig programvare har nylig blitt dokumentert av sikkerhetsforskere. Trusselen ble kalt Nerbian og viser egenskaper som er typiske for fjerntilgangstrojanere, derav det fulle navnet Nerbian RAT.

Kanskje litt sent til festen, blir Nerbian RAT spredt gjennom en phishing-e-postkampanje som bruker lokker relatert til Covid-19. Kampanjen ser ut til å ha vært målrettet, gitt det relativt lave volumet. Forskere pekte på starten av phishing-kampanjen som den siste uken i april 2022.

Skadevaren har en rekke funksjoner som hjelper den å unngå automatisert oppdagelse, inkludert "flere krypteringsrutiner".

De ondsinnede e-postene later som de stammer fra Verdens helseorganisasjon og inneholder en ondsinnet dokumentfil vedlagt. Filen inneholder punktlister over ting du kan gjøre hvis du har Covid-symptomer og instruksjoner om hvordan du isolerer deg på riktig måte, samt ondsinnede makroer som vil be om tillatelse til å utføre før du viser dokumentets tekst.

Når makroen kjøres, laster den ned en ondsinnet kjørbar fil kalt "UpdateUAV.exe". Dette er dropper-komponenten i den nerbiske RAT-angrepskjeden. Den endelige nyttelasten er inneholdt i en fil som heter "MoUsoCore.exe".

Skadevaren er utstyrt med funksjonalitet som vil stenge prosessen hvis analytiske verktøy og debuggere prøver å samhandle med den.

Nerbian RAT selv har anstendige evner, inkludert logging av tastaturinnganger, ta skjermbilder og aksept av eksterne kommandoer, samt eksfiltrering av data til C2-serverne.

RAT ble brukt til å målrette mot enheter i flere europeiske land, inkludert Spania, Italia og Storbritannia.

May 12, 2022