Nerbian RAT

I criminali informatici continuano a utilizzare il COVID-19 come esca nelle loro campagne minacciose. Una di queste operazioni prevede la diffusione di e-mail esca contenenti un file allegato contenente malware. L'ultimo carico utile nella catena di infezione dell'attacco è una minaccia precedentemente sconosciuta denominata Nerbian RAT. I dettagli sull'intera operazione e sugli strumenti malware coinvolti sono stati pubblicati in un rapporto di una società di sicurezza aziendale.

Secondo i risultati degli esperti di sicurezza informatica, la campagna di attacco sembra essere altamente mirata, con la maggior parte degli obiettivi provenienti da Italia, Spagna e Regno Unito. Le e-mail di richiamo affermano di provenire dall'Organizzazione Mondiale della Sanità (OMS) e contengono istruzioni e misure di sicurezza relative al COVID-19. Le vittime sono invitate ad aprire il documento allegato di Microsoft Word per vedere "gli ultimi consigli sulla salute".

Per visualizzare correttamente il contenuto del file, le vittime devono abilitare le macro sul proprio sistema. Successivamente, sarebbe stato presentato loro un documento contenente i passaggi generali relativi all'autoisolamento e alla cura di qualcuno infetto da COVID. Questa è solo un'esca pensata per attirare l'attenzione della vittima mentre sullo sfondo del sistema, le macro incorporate nel documento consegnerebbero un file di carico utile chiamato "UpdateUAV.exe". Contiene un contagocce incaricato di recuperare ed eseguire Nerbian RAT da un server remoto.

Funzionalità minacciose e comunicazione C2

Il Nerbian RAT è scritto nel linguaggio di programmazione GO indipendente dal sistema. È compilato per sistemi a 64 bit e dimostra un'attenzione significativa all'evasione del rilevamento. Gli esperti hanno identificato molteplici componenti anti-analisi che sono stati distribuiti in diverse fasi operative. La minaccia sfrutta anche numerose librerie open source.

Una volta implementato completamente, Nerbian RAT può avviare routine di keylogging, acquisire schermate arbitrarie, eseguire comandi sul sistema ed esfiltrare i risultati ottenuti nell'infrastruttura di comando e controllo (C2, C&C) dell'operazione. Gli aggressori possono modificare molteplici aspetti della minaccia, inclusi gli host con cui tenta di comunicare, la frequenza dei controlli per i domini C2 e gli indirizzi IP tramite messaggi keep-alive, la directory di lavoro preferita, l'intervallo di tempo entro il quale il RAT è attivo e molti altri.

Il Nerbian RAT è stato osservato utilizzando due tipi di traffico di rete. Il primo è un semplice messaggio heartbeat/keep-alive al C2. Qualsiasi comunicazione aggiuntiva viene trasferita sulle richieste POST ai domini C2 e agli indirizzi IP configurati. Queste richieste trasportano una grande quantità di dati del modulo HTTP.