Nerbian RAT 针对欧洲的受害者

安全研究人员最近记录了一种新的恶意软件。该威胁被称为 Nerbian,具有远程访问木马的典型特征,因此全称为 Nerbian RAT。

也许晚了一点,Nerbian RAT 正在通过网络钓鱼电子邮件活动传播,该活动使用与 Covid-19 相关的诱饵。鉴于其相对较低的数量,该活动似乎已成为目标。研究人员将网络钓鱼活动的开始时间确定为 2022 年 4 月的最后一周。

该恶意软件具有许多帮助它避免自动检测的功能,包括“几个加密例程”。

这些恶意电子邮件伪装成来自世界卫生组织,并附有恶意文档文件。该文件包括在出现 Covid 症状时要做的事情的项目符号列表和有关如何正确自我隔离的说明,以及在显示文档文本之前要求执行权限的恶意宏。

一旦宏执行,它会下载一个名为“UpdateUAV.exe”的恶意可执行文件。这是 Nerbian RAT 攻击链的 dropper 组件。最终有效负载包含在名为“MoUsoCore.exe”的文件中。

该恶意软件配备了在分析工具和调试器尝试与之交互时关闭进程的功能。

Nerbian RAT 本身具有不错的功能,包括记录键盘输入、截屏和接受远程命令,以及将数据泄露到其 C2 服务器。

RAT 被用于针对几个欧洲国家的实体,包括西班牙、意大利和英国。

May 12, 2022