Un RAT (Trojan di accesso Remoto), sinora non documentato e scritto nel linguaggio di programmazione Go, sarebbe stato individuato colpire entità in Italia, Spagna e Regno Unito secondo la società di sicurezza aziendale Proofpoint.
Il RAT appena identificato sfrutterebbe molteplici componenti anti-analisi e librerie open source.
Chiamato Nerbian RAT dai ricercatori, il nuovo malware verrebbe distribuito sfruttando come esca il tema COVID-19 tramite una campagna di phishing per adesso a basso volume e iniziata il 26 aprile 2022. Secondo il rapporto la catena d’infezione sarebbe costituita da tre fasi principali:
- Esca di phishing Maldoc
- Dropper che esegue controlli anti-reversing e anti-VM
- Carico utile Nerbian RAT
Phishing e maldoc
In particolare i messaggi, che ammonterebbero a meno di 100, pretendono di provenire dall’Organizzazione Mondiale della Sanità fornendo consigli utili sulle misure di sicurezza sanitaria, esortando le potenziali vittime ad aprire un documento Microsoft Word con macro.
Il documento conterrebbe anche i loghi dell’Health Service Executive (HSE), del governo irlandese e del National Council for the Blind of Ireland (NCBI).
Quando gli utenti abilitano la macro su questo documento, questa rilascia un file .bat che:
- esegue una richiesta Web PowerShell Invoke (IWR) all’URL hxxps://www[.]fernandestechnical[.]com/pub/media/gitlog ,
- Rinomina il dropper scaricato come UpdateUAV.exe e lo salva in “C:\Utenti[utente corrente]\AppData\Roaming\UpdateUAV.exe“
Il dropper UpdateUAV.exe
L’abilitazione della macro mentre mostra la guida COVID-19, con i consigli per l’autoisolamento, in background in realtà scarica un carico utile chiamato “UpdateUAV.exe“, che funge da dropper per Nerbian RAT (“MoUsoCore. exe“).
UpdateUAV.exe è un eseguibile a 64 bit, scritto in Golang, con una dimensione di 3,5 MB e un pacchetto UPX.
“Probabilmente, questo malware è ricco di UPX per ridurre le dimensioni complessive dell’eseguibile scaricato” , si legge nel rapporto.
Il dropper inoltre presenterebbe molto codice riutilizzato e prelevato da vari progetti GitHub. Tra tutti questi riferimenti a progetti esterni il più interessante sarebbe quello relativo a Chacal (github.com/p3tr0v/chacal/), il framework anti-VM open source utilizzato solitamente dai Red Team. Tuttavia, sono state individuate anche diverse altre funzioni per ostacolare il debugging e il reverse engineering.
Il RAT Nerbian (MoUsoCore.exe)
L’obiettivo finale del dropper è scaricare l’eseguibile denominato SSL(“hxxps://www[.] fernandestechnical [.]com/pub/media/ssl”), salvarlo con il nome MoUsoCore.exe in “C:\ProgramData\USOShared\MoUsoCore.exe” e pianificare un meccanismo di persistenza principale.
Come il dropper, anche Nerbian RAT sembra supportare una varietà di funzioni diverse, la maggior parte delle quali sono dettate da impostazioni di configurazione crittografate nel binario stesso. Molte riguardano i parametri operativi per il malware, come gli host di comunicazione, la frequenza dei check-in nei domini C2 e gli indirizzi IP con messaggi keep-alive, la directory di lavoro preferita e le ore di funzionamento.
Il trojan di accesso remoto risulta inoltre capace di registrare le sequenze dei tasti, acquisire schermate ed eseguire comandi arbitrari, prima di esfiltrare i risultati sul server C2 con comunicazioni SSL.
Conclusioni
Mentre si ritiene che sia il dropper che il RAT siano stati sviluppati dallo stesso autore, l’identità dell’attore della minaccia risulterebbe ancora sconosciuta.
“Proofpoint valuta con elevata sicurezza che dropper e RAT sono stati entrambi creati dalla stessa entità e, sebbene il dropper possa essere modificato per fornire carichi utili diversi in futuro, al momento dell’analisi risulta configurato staticamente per scaricare e stabilire la persistenza per questo carico utile specifico [Nerbian RAT]“.
Si raccomanda pertanto di implementare gli IoC pubblicati.
