Trojan akses jarak jauh (RAT) yang sebelumnya tidak terdokumentasi yang ditulis dalam bahasa pemrograman Go telah terlihat secara tidak proporsional menargetkan entitas di Italia, Spanyol, dan Inggris.

Ditelepon RAT oleh firma keamanan perusahaan Proofpoint, malware baru ini memanfaatkan umpan bertema COVID-19 untuk disebarkan sebagai bagian dari kampanye phishing email-borne volume rendah yang dimulai pada 26 April 2022.

“RAT Nerbian yang baru diidentifikasi memanfaatkan beberapa komponen anti-analisis yang tersebar di beberapa tahap, termasuk beberapa perpustakaan sumber terbuka,” kata peneliti Proofpoint dalam sebuah laporan yang dibagikan dengan The Hacker News.

“Ini ditulis dalam bahasa pemrograman Go agnostik sistem operasi (OS), dikompilasi untuk sistem 64-bit, dan memanfaatkan beberapa rutinitas enkripsi untuk menghindari analisis jaringan lebih lanjut.”

Pesan-pesan tersebut, berjumlah kurang dari 100, dimaksudkan dari Organisasi Kesehatan Dunia tentang langkah-langkah keamanan terkait dengan COVID-19, mendesak calon korban untuk membuka dokumen Microsoft Word yang mengandung makro untuk mengakses “nasihat kesehatan terbaru.”

RAT

Mengaktifkan makro menampilkan panduan COVID-19, termasuk langkah-langkah untuk isolasi diri, sementara di latar belakang, makro yang disematkan memicu rantai infeksi yang mengirimkan muatan yang disebut “UpdateUAV.exe”, yang bertindak sebagai penetes untuk Nerbian RAT (“MoUsoCore. exe”) dari server jauh.

flow

Dropper juga menggunakan “kerangka kerja anti-VM” Chacal open-source untuk mempersulit rekayasa balik, menggunakannya untuk melakukan pemeriksaan anti-pembalikan dan menghentikan dirinya sendiri jika menemui debugger atau program analisis memori.

Related Post :   Trojan Perbankan Android Baru Terlihat di Alam Liar

Trojan akses jarak jauh, pada bagiannya, dilengkapi untuk mencatat penekanan tombol, menangkap tangkapan layar, dan menjalankan perintah arbitrer, sebelum mengekstrak hasilnya kembali ke server.

Keamanan cyber

Sementara penetes dan RAT dikatakan telah dikembangkan oleh penulis yang sama, identitas pelaku ancaman masih belum diketahui.

Lebih lanjut, Proofpoint memperingatkan bahwa penetes dapat dikustomisasi untuk mengirimkan muatan yang berbeda dalam serangan di masa mendatang, meskipun dalam bentuknya saat ini, ia hanya dapat mengambil RAT Nerbian.

“Penulis malware terus beroperasi di persimpangan kemampuan sumber terbuka dan peluang kriminal,” kata Sherrod DeGrippo, wakil presiden penelitian dan deteksi ancaman di Proofpoint, dalam sebuah pernyataan.