Nerbian RAT

Peneliti Memperingatkan Entitas Penargetan RAT Nerbian di Italia, Spanyol, dan Inggris

Trojan akses jarak jauh (RAT) yang sebelumnya tidak terdokumentasi yang ditulis dalam bahasa pemrograman Go telah terlihat secara tidak proporsional menargetkan entitas di Italia, Spanyol, dan Inggris.

Ditelepon RAT oleh firma keamanan perusahaan Proofpoint, malware baru ini memanfaatkan umpan bertema COVID-19 untuk disebarkan sebagai bagian dari kampanye phishing email-borne quantity rendah yang dimulai pada 26 April 2022.

“RAT Nerbian yang baru diidentifikasi memanfaatkan beberapa komponen anti-analisis yang tersebar di beberapa tahap, termasuk beberapa perpustakaan sumber terbuka,” peneliti Proofpoint dikatakan dalam laporan yang dibagikan kepada The Hacker Information.

“Ini ditulis dalam bahasa pemrograman Go agnostik sistem operasi (OS), dikompilasi untuk sistem 64-bit, dan memanfaatkan beberapa rutinitas enkripsi untuk menghindari analisis jaringan lebih lanjut.”

Pesan-pesan tersebut, berjumlah kurang dari 100, dimaksudkan dari Organisasi Kesehatan Dunia tentang langkah-langkah keamanan terkait dengan COVID-19, mendesak calon korban untuk membuka dokumen Microsoft Phrase makro untuk mengakses “nasihat kesehatan terbaru.”

RAT

Mengaktifkan makro menampilkan panduan COVID-19, termasuk langkah-langkah untuk isolasi diri, sementara di latar belakang, makro yang disematkan memicu rantai infeksi yang mengirimkan muatan yang disebut “UpdateUAV.exe”, yang bertindak sebagai penetes untuk Nerbian RAT (“MoUsoCore. exe”) dari server jauh.

Penetes juga menggunakan sumber terbuka Chacal “kerangka kerja anti-VM” untuk mempersulit rekayasa balik, menggunakannya untuk melakukan pemeriksaan anti-pembalikan dan menghentikan dirinya sendiri jika menghadapi debugger atau program analisis memori.

Trojan akses jarak jauh, pada bagiannya, dilengkapi untuk mencatat penekanan tombol, menangkap tangkapan layar, dan menjalankan perintah arbitrer, sebelum mengekstrak hasilnya kembali ke server.

Sementara penetes dan RAT dikatakan telah dikembangkan oleh penulis yang sama, identitas pelaku ancaman masih belum diketahui.

Lebih lanjut, Proofpoint memperingatkan bahwa penetes dapat dikustomisasi untuk mengirimkan muatan yang berbeda dalam serangan di masa mendatang, meskipun dalam bentuknya saat ini, ia hanya dapat mengambil RAT Nerbian.

“Penulis malware terus beroperasi di persimpangan kemampuan sumber terbuka dan peluang kriminal,” kata Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint, dalam sebuah pernyataan.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts