Nerbian RAT

Nettkriminelle fortsetter å bruke COVID-19 som lokkemiddel i sine truende kampanjer. En slik operasjon involverer spredning av lokke-e-poster som inneholder et filvedlegg med malware. Den siste nyttelasten i infeksjonskjeden til angrepet er en tidligere ukjent trussel kalt Nerbian RAT. Detaljer om hele operasjonen og de involverte skadevareverktøyene ble utgitt i en rapport fra et sikkerhetsfirma.

I følge funnene til nettsikkerhetsekspertene ser angrepskampanjen ut til å være svært målrettet, med de fleste målene fra Italia, Spania og Storbritannia. Lokke-e-postene hevder å være fra Verdens helseorganisasjon (WHO) og inneholder instruksjoner og sikkerhetstiltak knyttet til COVID-19. Ofre oppfordres til å åpne det vedlagte Microsoft Word-dokumentet for å se de "siste helserådene."

For å se innholdet i filen riktig, må ofrene aktivere makroer på systemet sitt. Etterpå vil de bli presentert med et dokument som inneholder generelle trinn angående selvisolering og å ta vare på noen som er smittet med COVID. Dette er bare et lokkemiddel ment å oppta oppmerksomheten til offeret mens i bakgrunnen av systemet vil makroene som er innebygd i dokumentet levere en nyttelastfil kalt 'UpdateUAV.exe.' Den inneholder en dropper som har i oppgave å hente og kjøre den nerbiske RAT fra en ekstern server.

Truende funksjonalitet og C2-kommunikasjon

Den nerbiske RAT er skrevet i det systemagnostiske GO-programmeringsspråket. Den er kompilert for 64-bits systemer og demonstrerer et betydelig fokus på deteksjonsunndragelse. Eksperter identifiserte flere antianalysekomponenter som var spredt over flere forskjellige operasjonsstadier. Trusselen utnytter også en rekke åpen kildekode-biblioteker.

Når den er fullstendig distribuert, kan Nerbian RAT starte keylogging-rutiner, ta vilkårlige skjermbilder, utføre kommandoer på systemet og eksfiltrere de oppnådde resultatene til Command-and-Control-infrastrukturen (C2, C&C) for operasjonen. Angriperne kan endre flere forskjellige aspekter av trusselen, inkludert hvilke verter den prøver å kommunisere med, hyppigheten av sjekkene for C2-domener og IP-adresser via keep-alive-meldinger, den foretrukne arbeidskatalogen, tidsrammen for når RAT er aktive og mange andre.

Den nerbiske RAT har blitt observert ved bruk av to typer nettverkstrafikk. Den første er en enkel melding om hjerteslag/hold i live til C2. Eventuell tilleggskommunikasjon overføres POST-forespørsler til de konfigurerte C2-domenene og IP-adressene. Disse forespørslene inneholder en stor mengde HTTP-skjemadata.