Nerbian RAT richt zich op slachtoffers in Europa

Een nieuwe vorm van malware is onlangs gedocumenteerd door beveiligingsonderzoekers. De dreiging heette Nerbian en vertoont kenmerken die typerend zijn voor de trojan voor externe toegang, vandaar de volledige naam Nerbian RAT.

Misschien een beetje laat op het feest, wordt Nerbian RAT verspreid via een phishing-e-mailcampagne die gebruik maakt van kunstaas met betrekking tot Covid-19. De campagne lijkt getarget te zijn, gezien het relatief lage volume. Onderzoekers stelden de start van de phishing-campagne vast in de laatste week van april 2022.

De malware heeft een aantal functies die geautomatiseerde detectie helpen voorkomen, waaronder "verschillende coderingsroutines".

De kwaadaardige e-mails doen alsof ze afkomstig zijn van de Wereldgezondheidsorganisatie en bevatten een bijgevoegd kwaadaardig documentbestand. Het bestand bevat lijsten met opsommingstekens van dingen die u moet doen als u Covid-symptomen heeft en instructies over hoe u zichzelf op de juiste manier kunt isoleren, evenals schadelijke macro's die toestemming vragen om uit te voeren voordat de tekst van het document wordt weergegeven.

Zodra de macro wordt uitgevoerd, downloadt het een kwaadaardig uitvoerbaar bestand genaamd "UpdateUAV.exe". Dit is het dropper-onderdeel van de Nerbian RAT-aanvalsketen. De uiteindelijke payload bevindt zich in een bestand met de naam "MoUsoCore.exe".

De malware is uitgerust met functionaliteit die het proces afsluit als analytische tools en debuggers ermee proberen te werken.

Nerbian RAT zelf heeft behoorlijke mogelijkheden, waaronder het loggen van toetsenbordinvoer, het maken van schermafbeeldingen en het accepteren van externe opdrachten, evenals het exfiltreren van gegevens naar zijn C2-servers.

De RAT werd gebruikt om entiteiten in verschillende Europese landen te targeten, waaronder Spanje, Italië en het Verenigd Koninkrijk.