Nerbian RAT с удовольствием использует фишинг на Covid-19

Nerbian RAT с удовольствием использует фишинг на Covid-19


Прошло два года после первой волны пандемии Covid-19, а новый коронавирус по-прежнему слишком соблазнителен, чтобы противостоять киберпреступникам, которые продолжают использовать его в фишинговых кампаниях.

Одно из недавно обнаруженных вредоносных программ, использующих приманку Covid-19, называлось Nerbian RAT — Nerbia — это вымышленное место в доме Мигеля де Сервантеса. Дон КихотУказание на то, что он включен в состав вредоносного ПО, которое было отслежено исследователями Proofpoint.

В маломасштабной кампании по электронной почте, нацеленной на пользователей в Италии, Испании и Великобритании, приманка Nerbian RAT утверждает, что представляет Всемирную организацию здравоохранения (ВОЗ) и, по-видимому, содержит важную информацию о Covid-19. Приманка также содержит логотипы Управления здравоохранения Ирландии (HSE), правительства Ирландии и Ирландского национального совета по делам слепых (NCBI).

Информация, которая представляется стандартным советом по самоизоляции, содержится в прикрепленном документе Word, содержащем макросы, которые при включении жертвой позволяют документу удалить файл .bat, который, в свою очередь, получает Nerbian RAT. падать.

Nerbian RAT сам по себе представляет собой довольно сложный троян удаленного доступа (отсюда и RAT), который поддерживает различные вредоносные функции, такие как ведение журнала клавиатуры, захват экрана и связь SSL со своей инфраструктурой C2. Он также содержит множество проверок, чтобы жертва не могла его удержать или реверс-инжиниринг.

Однако он больше озабочен написанием на языке программирования Go и использует библиотеку Go с несколькими источниками для выполнения своих вредоносных действий. Как отметил вице-президент Proofpoint по расследованию и обнаружению угроз Шеррод ДеГрипо, «разработчики вредоносных программ продолжают работать над пересечением возможностей открытого исходного кода и криминальных возможностей».

Go или Golang все чаще пользуются популярностью у злоумышленников, предположительно потому, что его проще использовать, чем другие языки, а порог входа ниже.

Он также созрел до такой степени, что стал языком «перехода» для разработчиков вредоносного ПО как на уровне Advanced Sustainable Threat (APT), так и на уровне Commodity. Вредоносное ПО на основе Go теперь появляется регулярно и нацелено на большинство основных операционных систем. За последние 12 месяцев Go все чаще использовался для создания ранних стадий Cobalt Strike.

Одной из самых недавно обнаруженных вредоносных программ с кодом Go является Denonia, относительно безобидная, на первый взгляд, криптовалюта, примечательная тем, что она специально разработана для лямбда-среды Amazon Web Services (AWS) и, как таковая, может быть первой в мире. Имейте в виду, что AWS отрицает, что считает его вредоносной программой.

Исследование 2021 года, проведенное аналитиками BlackBerry, выбрало четыре необычных языка, на которых их инструменты обнаружения оказались оскорбительными — Go, D, Nim и Rust — и пришли к общему мнению, что вредоносное ПО также поддерживает эти языки, потому что они все еще относительно редкость, так что поверьте. Это может помочь им избежать атак обнаружения и задержать анализ.

Другие плюсы включают возможность перекрестного создания нового вредоносного ПО, которое может одновременно воздействовать на среды Windows и MacOS.

Дополнительную информацию о Nerbian RAT, включая Compromise (IoC) и Yara Rulers, можно получить на сайте Proofpoint.

Facebook Comments

Share this post

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო.


has been added to your cart.
გადახდა