Nerbian RAT visa vítimas na Europa

Uma nova variedade de malware foi recentemente documentada por pesquisadores de segurança. A ameaça foi chamada de Nerbian e apresenta características típicas de trojan de acesso remoto, daí o nome completo Nerbian RAT.

Talvez um pouco atrasado para a festa, o Nerbian RAT está sendo divulgado por meio de uma campanha de e-mail de phishing que usa iscas relacionadas ao Covid-19. A campanha parece ter sido direcionada, dado seu volume relativamente baixo. Os pesquisadores identificaram o início da campanha de phishing na última semana de abril de 2022.

O malware possui vários recursos que o ajudam a evitar a detecção automatizada, incluindo "várias rotinas de criptografia".

Os e-mails maliciosos fingem ser originários da Organização Mundial da Saúde e contêm um arquivo de documento malicioso anexado. O arquivo inclui listas com marcadores de coisas a fazer se você tiver sintomas de Covid e instruções sobre como se auto-isolar adequadamente, além de macros maliciosas que solicitarão permissão para executar antes de exibir o texto do documento.

Depois que a macro é executada, ela baixa um executável malicioso chamado "UpdateUAV.exe". Este é o componente conta-gotas da cadeia de ataque Nerbian RAT. A carga final está contida em um arquivo chamado "MoUsoCore.exe".

O malware está equipado com uma funcionalidade que encerrará o processo se ferramentas analíticas e depuradores tentarem interagir com ele.

O próprio Nerbian RAT possui recursos decentes, incluindo registrar entradas de teclado, fazer capturas de tela e aceitar comandos remotos, além de exfiltrar dados para seus servidores C2.

O RAT foi usado para direcionar entidades em vários países europeus, incluindo Espanha, Itália e Reino Unido.

May 12, 2022