Nuevo malware Nerbian RAT detectado en ataques en curso

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se descubrió un nuevo troyano de acceso remoto llamado Nerbian RAT que incluye un amplio conjunto de características, incluida la capacidad de evadir la detección y el análisis por parte de los investigadores.

La nueva variante de malware está escrita en Go, lo que la convierte en una amenaza multiplataforma de 64 bits, y actualmente se distribuye a través de una campaña de distribución de correo electrónico a pequeña escala que utiliza archivos adjuntos de documentos con macros.

Las campañas de correo electrónico fueron descubiertas por investigadores de Proofpoint, quienes publicaron un informe hoy sobre el nuevo malware Nerbian RAT.

Haciéndose pasar por la OMS

La campaña de malware que distribuye Nerbian RAT se hace pasar por la Organización Mundial de la Salud (OMS), que supuestamente envía información de COVID-19 a los objetivos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los archivos adjuntos RAR contienen documentos de Word con código de macro malicioso, por lo que, si se abre en Microsoft Office con el contenido configurado como "habilitado", un archivo bat realiza un paso de ejecución de PowerShell para descargar un cuentagotas de 64 bits.

El cuentagotas, llamado "UpdateUAV.exe", también está escrito en Golang y está empaquetado en UPX para mantener el tamaño manejable.

UpdateUAV reutiliza el código de varios proyectos de GitHub para incorporar un amplio conjunto de mecanismos antianálisis y detección-evasión antes de implementar Nerbian RAT.

Aparte de eso, el cuentagotas también establece la persistencia al crear una tarea programada que inicia el RAT cada hora.

Proofpoint resume la lista de herramientas anti-análisis de la siguiente manera:

    Comprobar la existencia de programas de ingeniería inversa o depuración en la lista de procesos

    Compruebe si hay direcciones MAC sospechosas

    Verifique las cadenas WMI para ver si los nombres de los discos son legítimos

    Compruebe si el tamaño del disco duro es inferior a 100 GB, lo que es típico para las máquinas virtuales

    Compruebe si hay algún análisis de memoria o programas de detección de manipulación presentes en la lista de procesos

    Verifique la cantidad de tiempo transcurrido desde la ejecución y compárelo con un umbral establecido

    Use la API IsDebuggerPresent para determinar si el ejecutable se está depurando

Todas estas comprobaciones hacen que sea prácticamente imposible que el RAT se ejecute en un entorno virtualizado de espacio aislado, lo que garantiza el sigilo a largo plazo para los operadores de malware.

Características del RAT nerbia

El troyano se descarga como "MoUsoCore.exe" y se guarda en "C:\ProgramData\USOShared\". Admite varias funciones, mientras que sus operadores tienen la opción de configurarlo con algunas de ellas.

Dos de sus funciones notables son un registrador de teclas que almacena las pulsaciones de teclas en forma cifrada y una herramienta de captura de pantalla que funciona en todas las plataformas de sistemas operativos.

Las comunicaciones con el servidor C2 se manejan a través de SSL (Secure Sockets Layer), por lo que todos los intercambios de datos están encriptados y protegidos de la inspección en tránsito de las herramientas de escaneo de la red.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estar al tanto

Sin duda, Proofpoint ha detectado un nuevo malware interesante y complejo que se centra en el sigilo a través de numerosos controles, comunicaciones cifradas y ofuscación de código.

Sin embargo, por ahora, Nerbian RAT se distribuye a través de campañas de correo electrónico de bajo volumen, por lo que aún no es una amenaza masiva, pero esto podría cambiar si sus autores deciden abrir su negocio a la comunidad de ciberdelincuentes en general.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta