Een voorheen ongedocumenteerde RAT (Remote Access Trojan) geschreven in de Go-programmeertaal is gespot en disproportioneel getarget op entiteiten in Italië, Spanje en het VK
Genaamd Nerbische RAT door het enterprise-beveiligingsbedrijf Proofpoint, maakt de nieuwe malware gebruik van lokaas met COVID-19-thema om zich te verspreiden als onderdeel van een phishing-campagne met een laag volume via e-mail die op 26 april 2022 begon.
“De nieuw geïdentificeerde Nerbian RAT maakt gebruik van meerdere anti-analysecomponenten verspreid over verschillende stadia, waaronder meerdere open-sourcebibliotheken”, onderzoekers van Proofpoint zei in een rapport gedeeld met The Hacker News.
“Het is geschreven in een besturingssysteem (OS)-agnostische programmeertaal Go, gecompileerd voor 64-bits systemen en maakt gebruik van verschillende versleutelingsroutines om netwerkanalyse verder te omzeilen.”
De berichten, die in totaal minder dan 100 bedragen, zouden afkomstig zijn van de Wereldgezondheidsorganisatie over veiligheidsmaatregelen in verband met COVID-19, en dringen er bij potentiële slachtoffers op aan een macro-geregen Microsoft Word-document te openen om toegang te krijgen tot het ‘laatste gezondheidsadvies’.
Als u de macro’s inschakelt, worden COVID-19-richtlijnen weergegeven, inclusief stappen voor zelfisolatie, terwijl op de achtergrond de ingesloten macro een infectieketen activeert die een payload levert met de naam “UpdateUAV.exe”, die fungeert als druppelaar voor Nerbian RAT (“MoUsoCore. exe”) vanaf een externe server.
De druppelaar maakt ook gebruik van de open-source Chacal “anti-VM-framework” om reverse-engineering moeilijk te maken, het te gebruiken om anti-reversing-controles uit te voeren en zichzelf te beëindigen als het debuggers of geheugenanalyseprogramma’s tegenkomt.
De trojan voor externe toegang is van zijn kant uitgerust om toetsaanslagen te loggen, schermafbeeldingen te maken en willekeurige opdrachten uit te voeren, voordat de resultaten terug naar de server worden geëxfiltreerd.
Hoewel zowel de dropper als de RAT door dezelfde auteur zouden zijn ontwikkeld, blijft de identiteit van de dreigingsactor tot nu toe onbekend.
Bovendien waarschuwde Proofpoint dat de dropper kan worden aangepast om verschillende payloads te leveren bij toekomstige aanvallen, hoewel hij in zijn huidige vorm alleen de Nerbian RAT kan ophalen.
“Malware-auteurs blijven opereren op het snijvlak van open-sourcecapaciteit en criminele kansen”, zegt Sherrod DeGrippo, vice-president van dreigingsonderzoek en -detectie bij Proofpoint, in een verklaring.
