Ερευνητές της Proofpoint ανακάλυψαν ένα remote access trojan με το όνομα Nerbian RAT. Το κακόβουλο λογισμικό φαίνεται να έχει μια σειρά ισχυρών λειτουργιών, που μεταξύ άλλων, του επιτρέπουν να αποφεύγει τον εντοπισμό και την ανάλυση από ερευνητές ασφαλείας. Το Nerbian RAT malware είναι γραμμένο σε Go και προς το παρόν διανέμεται μέσω phishing emails με θέμα τον COVID-19, που περιέχουν συνημμένα έγγραφα με κακόβουλες μακροεντολές.
Δείτε επίσης: Elon Musk: Η Ρωσία προσπαθεί να χακάρει τη Starlink στην Ουκρανία
Τα phishing emails που διανέμουν το Nerbian RAT, ανακαλύφθηκαν από τους ερευνητές της Proofpoint στις αρχές Απριλίου. Η εταιρεία δημοσίευσε μια έκθεση για να δώσει περισσότερες λεπτομέρειες για αυτή τη νέα απειλή.
Τα phishing emails προέρχονται από τον ΠΟΥ και έχουν ως θέμα τον COVID-19
Τα phishing emails που διανέμουν το Nerbian RAT, στέλνονται υποτίθεται από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ) και περιέχουν έγγραφα Word (συχνά μέσα σε αρχεία RAR) τα οποία ενημερώνουν τους χρήστες σχετικά με μέτρα προστασίας για τον COVID-19.
Εκτός από το ότι μεταμφιέζεται ως ΠΟΥ, το έγγραφο φαίνεται να περιέχει, επίσης, λογότυπα από το Health Service Executive (HSE), την κυβέρνηση της Ιρλανδίας και το National Council for the Blind της Ιρλανδίας (NCBI).
Δείτε επίσης: Η HP διορθώνει δύο ευπάθειες υψηλής σοβαρότητας
Τα συνημμένα RAR περιέχουν έγγραφα του Word με κακόβουλο macro code. Έτσι, αν το θύμα ανοίξει το έγγραφο και ενεργοποιήσει το περιεχόμενο, το έγγραφο θα εκτελέσει μια ενσωματωμένη μακροεντολή που εγκαθιστά ένα ένα bat file, το οποίο με τη σειρά του εκτελεί ένα PowerShell execution step για λήψη ενός 64-bit dropper.
Το dropper, που ονομάζεται “UpdateUAV.exe“, είναι επίσης γραμμένο σε Golang και είναι packed σε UPX. Το UpdateUAV επαναχρησιμοποιεί κώδικα από διάφορα GitHub projects για να ενσωματώσει μηχανισμούς που επιτρέπουν την αποφυγή εντοπισμού και ανάλυσης, πριν από την ανάπτυξη του Nerbian RAT. Επιπλέον, το dropper καθιερώνει persistence δημιουργώντας ένα προγραμματισμένο task που εκκινεί αυτό το RAT κάθε ώρα.
Σύμφωνα με τους ερευνητές της Proofpoint, το Nerbian RAT κάνει τα παρακάτω για να σιγουρευτεί ότι δεν θα είναι εύκολη η ανάλυση:
- Ελέγχει για την ύπαρξη προγραμμάτων reverse engineering ή debugging στο process list
- Ελέγχει για ύποπτες διευθύνσεις MAC
- Ελέγχει τα WMI strings για να δει εάν τα ονόματα των δίσκων είναι νόμιμα
- Ελέγχει εάν υπάρχουν προγράμματα ανάλυσης μνήμης ή εντοπισμού παραβίασης στο process list
- Ελέγχει εάν το μέγεθος του σκληρού δίσκου είναι κάτω από 100 GB, κάτι που είναι χαρακτηριστικό για εικονικές μηχανές
- Χρησιμοποιεί το IsDebuggerPresent API για να προσδιορίσει εάν το εκτελέσιμο αρχείο γίνεται debugged
Οι χειριστές του κακόβουλου λογισμικού έχουν προσθέσει όλες αυτές τις δυνατότητες και τους ελέγχους, ώστε να είναι σίγουρο ότι το Nerbian RAT δεν θα εκτελεστεί σε sandboxed, virtualized περιβάλλον και ότι θα μπορεί να διεισδύσει κρυφά χωρίς να γίνει αντιληπτό.
Nerbian RAT: Βασικά χαρακτηριστικά
Αρχικά, η λήψη του RAT trojan γίνεται ως “MoUsoCore.exe” και αποθηκεύεται στο “C:\ProgramData\USOShared\”. Όπως είπαμε παραπάνω, διαθέτει μια σειρά ισχυρών λειτουργιών.
Δύο από τις πιο σημαντικές, είναι η δυνατότητα keylogging που καταγράφει τις πληκτρολογήσεις και ένα εργαλείο καταγραφής οθόνης που λειτουργεί σε όλα τα λειτουργικά συστήματα.
Δείτε επίσης: Χιλιάδες δημοφιλείς ιστότοποι συλλέγουν ότι πληκτρολογείτε
Επιπλέον, οι επικοινωνίες με τον C2 server διεκπεραιώνονται μέσω SSL (Secure Sockets Layer), το οποίο σημαίνει ότι όλες οι μεταφορές δεδομένων κρυπτογραφούνται και προστατεύονται.
Οι δημιουργοί του Nerbian RAT φαίνεται πως έχουν κάνει αρκετά προσεκτική δουλειά και η μόλυνση του συστήματος με αυτό θα μπορούσε να προκαλέσει μεγάλα προβλήματα στο θύμα. Προς το παρόν, το Nerbian RAT φαίνεται να διανέμεται σε μικρή κλίμακα και να στοχεύει κυρίως οντότητες στην Ισπανία, την Ιταλία και το Ηνωμένο Βασίλειο, αλλά αυτό θα μπορούσε να αλλάξει σύντομα. Επομένως, μείνετε σε επιφυλακή και να είστε προσεκτικοί με τα emails που λαμβάνετε!
Περισσότερες λεπτομέρειες για το Nerbian RAT και τον τρόπο λειτουργίας του μπορείτε να βρείτε στην έκθεση της Proofpoint.
Πηγή: www.bleepingcomputer.com