Nerbian RAT нацеливается на жертв в Европе

Исследователи безопасности недавно задокументировали новый штамм вредоносного ПО. Угроза получила название Nerbian и обладает свойствами, типичными для троянов удаленного доступа, отсюда и полное название Nerbian RAT.

Возможно, немного опоздав на вечеринку, Nerbian RAT распространяется через фишинговую кампанию по электронной почте, в которой используются приманки, связанные с Covid-19. Кампания, похоже, была целенаправленной, учитывая ее относительно небольшой объем. Исследователи определили начало фишинговой кампании в последнюю неделю апреля 2022 года.

Вредоносная программа имеет ряд функций, которые помогают избежать автоматического обнаружения, в том числе «несколько процедур шифрования».

Вредоносные электронные письма якобы исходят от Всемирной организации здравоохранения и содержат вложенный файл вредоносного документа. Файл включает в себя маркированные списки того, что нужно делать, если у вас есть симптомы Covid, и инструкции о том, как правильно самоизолироваться, а также вредоносные макросы, которые будут запрашивать разрешение на выполнение перед отображением текста документа.

После выполнения макроса загружается вредоносный исполняемый файл с именем «UpdateUAV.exe». Это дроппер-компонент цепочки атаки Nerbian RAT. Окончательная полезная нагрузка содержится в файле с именем «MoUsoCore.exe».

Вредонос оснащен функциями, которые останавливают процесс, если с ним пытаются взаимодействовать аналитические инструменты и отладчики.

Nerbian RAT сам по себе обладает приличными возможностями, включая регистрацию ввода с клавиатуры, создание снимков экрана и прием удаленных команд, а также передачу данных на свои C2-серверы.

RAT использовался для нацеливания на организации в нескольких европейских странах, включая Испанию, Италию и Великобританию.