Nerbian RAT

Nerbian RAT Description

Els ciberdelinqüents continuen utilitzant la COVID-19 com a reclam en les seves campanyes amenaçadores. Una d'aquestes operacions consisteix en la difusió de correus electrònics d'engany que porten un fitxer adjunt amb programari maliciós. La càrrega útil final de la cadena d'infecció de l'atac és una amenaça desconeguda anteriorment anomenada Nerbian RAT. Els detalls sobre tota l'operació i les eines de programari maliciós implicades es van publicar en un informe d'una empresa de seguretat empresarial.

Segons les conclusions dels experts en ciberseguretat, la campanya d'atac sembla estar molt dirigida, amb la majoria d'objectius procedents d'Itàlia, Espanya i el Regne Unit. Els correus electrònics d'esquer diuen ser de l'Organització Mundial de la Salut (OMS) i contenen instruccions i mesures de seguretat relacionades amb la COVID-19. Es demana a les víctimes que obrin el document de Microsoft Word adjunt per veure els "últims consells de salut".

Per veure correctament el contingut del fitxer, les víctimes han d'activar les macros al seu sistema. Posteriorment, se'ls presenta un document que conté els passos generals pel que fa a l'autoaïllament i la cura d'una persona infectada per COVID. Es tracta només d'un engany destinat a ocupar l'atenció de la víctima, mentre que en el fons del sistema, les macros incrustades al document lliurarien un fitxer de càrrega útil anomenat "UpdateUAV.exe". Conté un comptagotes encarregat d'aconseguir i executar el Nerbian RAT des d'un servidor remot.

Funcionalitat amenaçadora i comunicació C2

El Nerbian RAT està escrit en el llenguatge de programació GO independent del sistema. Està compilat per a sistemes de 64 bits i demostra un enfocament important en l'evasió de la detecció. Els experts van identificar múltiples components antianàlisi que estaven repartits en diverses etapes operatives diferents. L'amenaça també aprofita nombroses biblioteques de codi obert.

Un cop completament desplegat, Nerbian RAT pot iniciar rutines de registre de tecles, fer captures de pantalla arbitràries, executar ordres al sistema i exfiltrar els resultats aconseguits a la infraestructura de comandament i control (C2, C&C) de l'operació. Els atacants poden modificar múltiples aspectes diferents de l'amenaça, inclosos els amfitrions amb els quals intenta comunicar-se, la freqüència de les comprovacions de dominis C2 i adreces IP mitjançant missatges de manteniment, el directori de treball preferit, el període de temps per al qual s'està RAT. actiu i molts altres.

La RAT Nerbiana s'ha observat utilitzant dos tipus de trànsit de xarxa. El primer és un simple missatge de batec del cor/mantenir viu al C2. Qualsevol comunicació addicional es trasllada a les sol·licituds POST als dominis C2 i a les adreces IP configurades. Aquestes sol·licituds porten una gran quantitat de dades de formularis HTTP.