Nerbian RAT atakuje ofiary w Europie

Badacze bezpieczeństwa udokumentowali niedawno nowy szczep złośliwego oprogramowania. Zagrożenie nazwano Nerbian i wykazuje cechy typowe dla trojana zdalnego dostępu, stąd pełna nazwa Nerbian RAT.

Być może trochę spóźniony na imprezę, Nerbian RAT rozprzestrzenia się za pośrednictwem phishingowej kampanii e-mailowej, która wykorzystuje przynęty związane z Covid-19. Wydaje się, że kampania była ukierunkowana, biorąc pod uwagę jej stosunkowo niewielki wolumen. Badacze określili początek kampanii phishingowej na ostatni tydzień kwietnia 2022 roku.

Złośliwe oprogramowanie ma wiele funkcji, które pomagają mu uniknąć automatycznego wykrywania, w tym „kilka procedur szyfrowania”.

Szkodliwe wiadomości e-mail udają, że pochodzą od Światowej Organizacji Zdrowia i zawierają załączony plik szkodliwego dokumentu. Plik zawiera wypunktowane listy rzeczy do zrobienia, jeśli masz objawy Covid i instrukcje dotyczące prawidłowego samoizolowania, a także złośliwe makra, które proszą o pozwolenie na wykonanie przed wyświetleniem tekstu dokumentu.

Po uruchomieniu makro pobiera złośliwy plik wykonywalny o nazwie „UpdateUAV.exe”. Jest to element droppera łańcucha ataków Nerbian RAT. Ostateczny ładunek znajduje się w pliku o nazwie „MoUsoCore.exe”.

Złośliwe oprogramowanie jest wyposażone w funkcję, która zatrzyma proces, jeśli narzędzia analityczne i debugery spróbują z nim wejść w interakcję.

Sam Nerbian RAT ma przyzwoite możliwości, w tym rejestrowanie danych wejściowych z klawiatury, robienie zrzutów ekranu i akceptowanie zdalnych poleceń, a także eksfiltrację danych na swoje serwery C2.

RAT został wykorzystany do namierzenia podmiotów w kilku krajach europejskich, w tym w Hiszpanii, Włoszech i Wielkiej Brytanii.