Nerbian RAT 針對歐洲的受害者

安全研究人員最近記錄了一種新的惡意軟件。該威脅被稱為 Nerbian,具有遠程訪問木馬的典型特徵,因此全稱為 Nerbian RAT。

也許晚了一點,Nerbian RAT 正在通過網絡釣魚電子郵件活動傳播,該活動使用與 Covid-19 相關的誘餌。鑑於其相對較低的數量,該活動似乎已成為目標。研究人員將網絡釣魚活動的開始時間確定為 2022 年 4 月的最後一周。

該惡意軟件具有許多幫助它避免自動檢測的功能,包括“幾個加密例程”。

這些惡意電子郵件偽裝成來自世界衛生組織,並附有惡意文檔文件。該文件包括在出現 Covid 症狀時要做的事情的項目符號列表和有關如何正確自我隔離的說明,以及在顯示文檔文本之前要求執行權限的惡意宏。

一旦宏執行,它會下載一個名為“UpdateUAV.exe”的惡意可執行文件。這是 Nerbian RAT 攻擊鏈的 dropper 組件。最終有效負載包含在名為“MoUsoCore.exe”的文件中。

該惡意軟件配備了在分析工具和調試器嘗試與之交互時關閉進程的功能。

Nerbian RAT 本身俱有不錯的功能,包括記錄鍵盤輸入、截屏和接受遠程命令,以及將數據洩露到其 C2 服務器。

RAT 被用於針對幾個歐洲國家的實體,包括西班牙、意大利和英國。

May 12, 2022