I ricercatori di Proofpoint hanno rilevato un nuovo trojan di accesso remoto, chiamato Nerbian RAT, che utilizza significative capacità di anti-analisi e anti-reverse e sfrutta i temi legati al COVID-19 e all’Organizzazione Mondiale della Sanità per diffondersi.
Questo RAT appena identificato sfrutta più componenti di anti-analisi distribuiti su più fasi, comprese più librerie open source. È scritto nel linguaggio di programmazione Go indipendente dal sistema operativo (OS), compilato per sistemi a 64 bit e sfrutta diverse routine di crittografia per eludere ulteriormente l’analisi della rete.
La campagna malevole è stata osservata per la prima volta dai ricercatori di Proofpoint il 26 aprile 2022, trasmessa tramite posta elettronica a basso volume (meno di 100 messaggi) inviata a più settori. Le e-mail affermavano di rappresentare l’Organizzazione mondiale della sanità (OMS) con informazioni importanti sul COVID-19 e sulle misure di sicurezza relative.
Oltre a fingersi l’OMS, il documento sembra contenere anche i loghi dell’Health Service Executive (HSE), del governo irlandese e del National Council for the Blind of Ireland (NCBI).
I messaggi includono un documento Word allegato contenente macro, a volte compresso con RAR. Quando le macro sono abilitate, il documento rivela informazioni relative alla sicurezza COVID-19, in particolare sull’autoisolamento e sulla cura delle persone con COVID-19 (esca simile ai temi utilizzati nei primi giorni della pandemia nel 2020 in particolare falsificando l’OMS).
Una volta aperto il documento e abilitata la macro, la vittima inconsapevolmente procede al download di un file batch che richiama via web una PowerShell la quale a sua volta scarica un eseguibile a 64 bit rinominato UpdateUAV.exe e scritto in Golang.
Nerbian RAT svolge una varietà di funzioni diverse, la maggior parte delle quali sono dettate da impostazioni di configurazione crittografate nel binario stesso, come: con quali host comunica il malware, con quale frequenza esegue il check-in nei domini C2 e negli indirizzi IP, in quale directory opera, in quali orari, la registrazione di sequenze di tasti e gli screenshot, la gestione delle comunicazioni tramite SSL.
La minaccia ha un impatto sproporzionato su entità in Italia, Spagna e Regno Unito.
Il campione di malware è stato notato anche dal ricercatore di sicurezza pr0xylife su Twitter.
