Nerbian RAT

Los ciberdelincuentes continúan usando el COVID-19 como señuelo en sus campañas amenazantes. Una de estas operaciones consiste en la difusión de correos electrónicos señuelo que contienen un archivo adjunto con malware. La carga útil final en la cadena de infección del ataque es una amenaza previamente desconocida llamada Nerbian RAT. Los detalles sobre toda la operación y las herramientas de malware involucradas fueron publicados en un informe de una empresa de seguridad empresarial.

Según los hallazgos de los expertos en seguridad cibernética, la campaña de ataque parece estar muy dirigida, y la mayoría de los objetivos provienen de Italia, España y el Reino Unido. Los correos electrónicos de señuelo afirman ser de la Organización Mundial de la Salud (OMS) y contienen instrucciones y medidas de seguridad relacionadas con COVID-19. Se insta a las víctimas a abrir el documento de Microsoft Word adjunto para ver los "últimos consejos de salud".

Para ver correctamente el contenido del archivo, las víctimas deben habilitar las macros en su sistema. Posteriormente, se les presentaría un documento que contiene los pasos generales sobre el autoaislamiento y el cuidado de alguien infectado con COVID. Esto es solo un señuelo destinado a ocupar la atención de la víctima mientras que, en el fondo del sistema, las macros incrustadas en el documento entregarían un archivo de carga llamado 'UpdateUAV.exe'. Contiene un cuentagotas encargado de buscar y ejecutar Nerbian RAT desde un servidor remoto.

Funcionalidad amenazante y comunicación C2

La RAT de Nerbian está escrita en el lenguaje de programación GO independiente del sistema. Está compilado para sistemas de 64 bits y demuestra un enfoque significativo en la evasión de detección. Los expertos identificaron múltiples componentes antianálisis que se distribuyeron en varias etapas operativas diferentes. La amenaza también aprovecha numerosas bibliotecas de código abierto.

Una vez completamente implementado, Nerbian RAT puede iniciar rutinas de registro de teclas, tomar capturas de pantalla arbitrarias, ejecutar comandos en el sistema y filtrar los resultados logrados a la infraestructura de comando y control (C2, C&C) de la operación. Los atacantes pueden modificar múltiples aspectos diferentes de la amenaza, incluidos los hosts con los que intenta comunicarse, la frecuencia de las comprobaciones de los dominios C2 y las direcciones IP a través de mensajes de mantenimiento, el directorio de trabajo preferido, el marco de tiempo para cuando el RAT es activo y muchos otros.

Se ha observado que la RAT de Nerbian utiliza dos tipos de tráfico de red. El primero es un simple latido/mensaje de mantenimiento de vida al C2. Cualquier comunicación adicional se transmite a través de solicitudes POST a los dominios C2 y direcciones IP configurados. Estas solicitudes llevan una gran cantidad de datos de formulario HTTP.