Nerbian RAT

Os cibercriminosos continuam a usar o COVID-19 como isca em suas campanhas ameaçadoras. Uma dessas operações envolve a disseminação de e-mails falsos que carregam um anexo de arquivo com malware. A carga útil final na cadeia de infecção do ataque é uma ameaça anteriormente desconhecida chamada Nerbian RAT. Detalhes sobre toda a operação e as ferramentas de malware envolvidas foram divulgados em um relatório de uma empresa de segurança corporativa.

De acordo com as descobertas dos especialistas em segurança cibernética, a campanha de ataque parece ser altamente direcionada, com a maioria dos alvos sendo da Itália, Espanha e Reino Unido. Os e-mails de atração afirmam ser da Organização Mundial da Saúde (OMS) e contêm instruções e medidas de segurança relacionadas ao COVID-19. As vítimas são instadas a abrir o documento do Microsoft Word em anexo para ver os 'últimos conselhos de saúde'.

Para ver corretamente o conteúdo do arquivo, as vítimas devem habilitar macros em seu sistema. Depois, eles receberiam um documento contendo as etapas gerais sobre auto-isolamento e cuidados de alguém infectado com COVID. Este é apenas um chamariz destinado a ocupar a atenção da vítima enquanto em segundo plano do sistema, as macros incorporadas ao documento entregariam um arquivo de carga útil chamado 'UpdateUAV.exe.' Ele contém um dropper encarregado de buscar e executar o Nerbian RAT de um servidor remoto.

Funcionalidade Ameaçadora e Comunicação C2

O Nerbian RAT é escrito na linguagem de programação GO independente do sistema. Ele é compilado para sistemas de 64 bits e demonstra um foco significativo na evasão de detecção. Os especialistas identificaram vários componentes anti-análise que estavam espalhados por vários estágios operacionais diferentes. A ameaça também aproveita várias bibliotecas de código aberto.

Uma vez totalmente implantado, o Nerbian RAT pode iniciar rotinas de keylogging, fazer capturas de tela arbitrárias, executar comandos no sistema e exfiltrar os resultados obtidos para a infraestrutura de Comando e Controle (C2, C&C) da operação. Os invasores podem modificar vários aspectos diferentes da ameaça, incluindo com quais hosts ele tenta se comunicar, a frequência das verificações de domínios C2 e endereços IP por meio de mensagens de manutenção, o diretório de trabalho preferido, o período de tempo em que o RAT é ativo e muitos outros.

O Nerbian RAT foi observado usando dois tipos de tráfego de rede. A primeira é uma simples mensagem de pulsação/keep-alive para o C2. Qualquer comunicação adicional é transportada por meio de solicitações POST para os domínios C2 e endereços IP configurados. Essas solicitações carregam uma grande quantidade de dados de formulário HTTP.