Бесплатно Экспресс-аудит сайта:

13.05.2022

Крысы нападают: скрытный Nerbian RAT замечен в атаках по всей Европе

Специалисты из Proofpoint предупредили пользователей о появлении нового трояна удаленного доступа (RAT) под названием Nerbian. RAT написан на языке Go и нацелен на организации в Великобритании, Италии и Испании.

"Троян написан на языке программирования Go, не зависящем от ОС, скомпилирован для 64-битных систем и использует несколько процедур шифрования для обхода сетевого анализа", – пишут исследователи. RAT может регистрировать нажатия клавиш, запускать произвольные команды, делать скриншоты и передавать данные на удаленный C&C-сервер. Разработчик трояна пока неизвестен.

Nerbian распространяется с 26 апреля 2022 года через фишинговую рассылку с использованием поддельных писем на тему COVID-19. Количество таких писем не превышает 100, и они замаскированы под письма ВОЗ о мерах безопасности в условиях эпидемии. В письмах жертвам предлагается открыть документ Word с макросом, который в фоновом режиме запускает цепочку заражения.

Специалисты Proofpoint рассказали , что дроппером полезной нагрузки является UpdateUAV.exe – 64-битный исполняемый файл, размером 3,5 МБ и написанный на языке Golang. По данным исследователей, дроппер и вредоносное ПО были разработаны одним автором.


Поддельное электронное письмо ВОЗ с Nerbian RAT внутри.

Исследователи Proofpoint заметили в Nerbian множество антианалитических компонентов, усложняющих обратный инжиниринг и проведение антиреверсивных проверок. Защитные компоненты также используются для самоликвидации трояна при обнаружении отладчиков или программ анализа памяти.

Недавно мы писали про другой троян TeaBot, который триумфально прошел по планете, атаковав более 400 приложений и заразив миллионы устройств.