Nerbian RAT riktar sig mot offer i Europa

En ny stam av skadlig programvara har nyligen dokumenterats av säkerhetsforskare. Hotet kallades Nerbian och uppvisar egenskaper som är typiska för fjärråtkomsttrojaner, därav det fullständiga namnet Nerbian RAT.

Kanske lite sent till festen, Nerbian RAT sprids genom en nätfiske-e-postkampanj som använder beten relaterade till Covid-19. Kampanjen verkar ha varit riktad med tanke på dess relativt låga volym. Forskare pekade på starten av nätfiskekampanjen som den sista veckan i april 2022.

Skadlig programvara har ett antal funktioner som hjälper den att undvika automatisk upptäckt, inklusive "flera krypteringsrutiner".

De skadliga e-postmeddelandena låtsas komma från Världshälsoorganisationen och innehåller en bifogad fil med skadlig dokument. Filen innehåller punktlistor över saker att göra om du har Covid-symptom och instruktioner om hur du självisolerar på rätt sätt, såväl som skadliga makron som kommer att be om tillåtelse att köra innan dokumentets text visas.

När makrot körs laddar det ner en skadlig körbar fil som heter "UpdateUAV.exe". Detta är droppkomponenten i den nerbiska RAT-attackkedjan. Den slutliga nyttolasten finns i en fil med namnet "MoUsoCore.exe".

Skadlig programvara är utrustad med funktionalitet som kommer att stänga av processen om analysverktyg och felsökningsverktyg försöker interagera med den.

Nerbian RAT själv har anständiga möjligheter, inklusive att logga tangentbordsingångar, ta skärmdumpar och acceptera fjärrkommandon, samt exfiltrera data till sina C2-servrar.

RAT användes för att rikta in sig på enheter i flera europeiska länder, inklusive Spanien, Italien och Storbritannien.

May 12, 2022