Nerbian RAT: variante de malware faz várias checagens, ofusca código e criptografa comunicação

Um novo trojan de acesso remoto (RAT) foi detectado pelos pesquisadores da Proofpoint durante uma campanha de distribuição de e-mail em pequena escala e relatado na última quarta-feira (11). Furtivo, o Nerbian RAT é capaz escapar da detecção e análise e reúne um rico conjunto de características.

A nova variante escrita em Go, o que a torna uma ameaça de 64 bits em várias plataformas, usa anexos de documentos ligados a macros com supostas informações sobre Covid-19, se passando por instituições conhecidas como a Organização Mundial da Saúde (OMS).

Imagem: Proofpoint

A campanha usa anexos RAR com documentos do Word com código macro malicioso. Quando aberto no Microsoft Office, o conteúdo solicita a habilitação, enquanto um arquivo bat executa o PowerShell para baixar um dropper de 64 bits.

Imagem: Brian Mcgowan/Unsplash

O dropper “UpdateUAV.exe”, também escrito em Golang, é empacotado em UPX para manter o tamanho gerenciável, além de reutilizar códigos de diversos projetos hospedados no GitHub para incorporar um rico conjunto de mecanismos anti-análise e detecção de evasão antes do malware ser implantado.

Esse conjunto foi resumido em uma lista pelos pesquisadores da Proofpoint:

• Verificação de existência de programas de engenharia reversa ou de depuração na lista de processos
• Verificação de existência de endereços MAC suspeitos
• Verificação das strings do WMI para confirmar a legitimidade dos nomes dos discos
• Verificação se o tamanho do disco rígido está abaixo de 100GB, o que é típico para máquinas virtuais
• Verificação da existência de alguma análise de memória ou programas de detecção de adulteração presentes na lista de processos
• Verificação do tempo decorrido desde a execução e compará-lo com um limite estabelecido
• Usar a API IsDebuggerPresent para determinar se o executável está sendo depurado

As verificações acima asseguram aos operadores do malware a característica furtiva a longo prazo, visto que é praticamente impossível rodar o malware em um ambiente virtualizado (VM) e com sandbox.

O dropper cria ainda uma tarefa programada que lança o RAT constantemente para estabelecer persistência.

Características do malware Nerbian RAT

Baixado sob o nome de “MoUsoCore.exe”, o trojan é salvo em “C:\ProgramData\USOShared\”. Com várias funções, o malware se adequa às necessidades dos operadores, que têm a opção de configurá-lo com algumas delas.

O Nerbian traz duas notáveis funções: de keylogger, capaz de capturar e armazenar de forma criptografada as teclas, e a captura de tela, que roda em todas as plataformas de sistema operacional.

As comunicações com o C2 tratadas com protocolo SSL — Secure Sockets Layer — garantem a criptografia e consequente proteção contra a inspeção em trânsito das ferramentas de escaneamento da rede.

Imagem: Proofpoint

Embora o malware não seja uma ameaça maciça por ter sido detectada em uma campanha de baixo volume, é possível que a qualquer momento os atores expandam os negócios para uma comunidade mais ampla.

Via BleepingComputer