Notícias de dispositivos móveis, gadgets, aplicativos Android

Malware Nerbian RAT entregue usando documentos do Word que incluem código de macro malicioso

Houve a descoberta de um novo trojan de acesso remoto chamado Nerbian RAT pelos pesquisadores da Proofpoint, que possui vários recursos avançados. Há uma série de recursos incluídos neste novo RAT que o ajudam a evitar a análise por pesquisadores e também a detecção.

Go é a linguagem de programação desta variante de malware em que está escrita e significa que é uma ameaça multiplataforma de 64 bits. Como a linguagem de programação Go tem baixa barreira de entrada e é fácil de usar, ela está se tornando cada vez mais popular entre os agentes de ameaças.

Atualmente, a campanha é distribuída através de uma campanha de e-mail em pequena escala que envolve a anexação de macros a anexos de documentos.

Campanha

Ponto de prova pesquisadores observaram uma campanha de malware baseada em e-mail enviada para vários setores pela primeira vez em 26 de abril de 2022, e as entidades que são desproporcionalmente afetadas pela ameaça incluem:-

  • It√°lia
  • Espanha
  • O Reino Unido

Os e-mails que pretendiam fornecer informa√ß√Ķes sobre a COVID-19 foram enviados por um indiv√≠duo que afirma representar a OMS.

Embora os indicadores e anexos identificados pelos pesquisadores da Proofpoint sejam os seguintes: –

De: quem.inter.svc@gmail[.]com, anunciar@who-internacional[.]com

Assuntos: OMS, Organiza√ß√£o Mundial da Sa√ļde

Nomes e tipos de anexos: who_covid19.rar com who_covid19.doc dentro, covid19guide.rar com covid19guide.doc dentro, covid-19.doc

H√° um anexo anexado aos e-mails que cont√©m macros incorporadas. Como resultado da habilita√ß√£o de macros, o documento fornece duas informa√ß√Ķes espec√≠ficas sobre a seguran√ßa do COVID-19:-

  • Isolamento volunt√°rio
  • Cuidando de pacientes com COVID-19

Para baixar o conta-gotas malicioso de 64 bits chamado ‚ÄúUpdateUAV.exe‚ÄĚ, um c√≥digo de macro maligno deve ser aberto no Microsoft Office com a prefer√™ncia ‚Äúativada‚ÄĚ definida. Depois disso, um arquivo em lote executar√° um comando do PowerShell para realizar o processo.

N√≥s recomendamos:  Hackers lan√ßam ataques furtivos de senha usando servi√ßos de proxy ‚Äď Microsoft

Uma tarefa agendada é criada pelo dropper que inicia o RAT a cada hora, desde que a persistência seja mantida por esta tarefa agendada.

Resumo das ferramentas anti-an√°lise usadas

Aqui está uma breve descrição das ferramentas que a Proofpoint especifica como ferramenta anti-análise:-

Para determinar se os nomes dos discos nas cadeias de caracteres WMI são válidos ou não, você deve verificar as cadeias de caracteres WMI.

Certifique-se de que o tamanho do seu disco r√≠gido seja inferior a 100 GB j√° que √© isso que normalmente √© solicitado para instala√ß√Ķes de m√°quinas virtuais.

A lista de processos deve revelar se existem programas que auxiliam na engenharia reversa ou na depuração de programas.

Para detectar se um executável está atualmente em depuração, a API IsDebuggerPresent pode ser usada.

O endereço MAC deve ser verificado em busca de qualquer atividade suspeita.

A lista de processos deve ser verificada em busca de quaisquer programas de detecção de memória ou de detecção de adulteração que possam existir.

Voc√™ deve verificar o n√ļmero de horas desde que um aplicativo foi executado e compar√°-lo com um limite que voc√™ definiu.

RATO Nérbio

Como parte do download, ‚ÄúMoUsoCore.exe‚ÄĚ √© usado para salvar o trojan no seguinte local: ‚Äď

  • C:/ProgramData/USOShared/

Embora possa ser configurado com diversas fun√ß√Ķes, seus operadores podem escolher quais fun√ß√Ķes usar. As principais fun√ß√Ķes deste software s√£o: –

Uma ferramenta de keylogger: rastreia todas as teclas digitadas e as armazena em um formato criptografado.

Uma ferramenta de captura de tela: está disponível para todos os sistemas operacionais.

Para proteger a confidencialidade e integridade de todas as trocas de dados, todas as comunica√ß√Ķes com o servidor C2 s√£o tratadas atrav√©s de codificadores SSL.

N√≥s recomendamos:  Como Hollywood obt√©m o ‚Äúvisual de filme‚ÄĚ usando c√Ęmeras digitais

Apesar disso, o Nerbian RAT ainda não é uma grande ameaça porque atualmente é distribuído por meio de e-mails de baixo volume. Embora esta noção possa mudar se os seus autores optarem por chegar à comunidade mais ampla de cibercriminosos, a fim de expandir os seus negócios.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de not√≠cias sobre seguran√ßa cibern√©tica e hackers.