Proofpoint ha identificato il remote access trojan Nerbian. Basato su librerie open source e dotato di tecniche avanzate di evasione, sfrutta i temi Covid-19 e OMS. La nuova variante di malware si avvale di significative capacitàanti-analisi e anti-reversione. Scritto nel linguaggio di programmazione Go, utilizza più librerie open-source Go per condurre attività dannose. Denominato Nerbian remote access trojan (RAT), questo malware sfrutta temi legati al Covid-19 e all’Organizzazione Mondiale della Sanità per diffondersi.
Covid-19 e OMS
Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint La disponibilità di funzionalità open source e le opportunità di massimizzare il loro ritorno criminale guidano come sempre le azioni degli autori di malware.
I ricercatori di Proofpoint hanno denominato il malware sulla base di una funzione che viene nominata nel codice del malware. Nerbia è un luogo immaginario del romanzo Don Chisciotte.
Cosa sfrutta il remote access trojan Nerbian
Il RAT Nerbian appena identificato sfrutta più componenti anti-analisi in diverse fasi, comprese diverse librerie open source. È scritto in un linguaggio di programmazione Go agnostico al sistema operativo (OS), compilato per sistemi a 64 bit. Sfrutta diverse routine di crittografia per eludere l’analisi della rete. Il linguaggio Go è sempre più diffuso tra gli attori delle minacce, probabilmente a causa della sua facilità d’uso.
Dettagli della campagna
A partire dal 26 aprile 2022, i ricercatori Proofpoint hanno osservato una campagna malware a basso volume (meno di 100 messaggi) inviata via e-mail a più settori. La minaccia ha un impatto particolarmente sbilanciato verso entità in Italia, Spagna e Regno Unito. Le e-mail affermano di rappresentare l’OMS con importanti informazioni riguardanti Covid-19.
Come si presentano i messaggi
I ricercatori di Proofpoint hanno osservato i seguenti indicatori e allegati:
Da: who.inter.svc@gmail[.]com, announce@who-international[.]com
Soggetti: OMS, Organizzazione Mondiale della Sanità
Nomi e tipologie di allegati: who_covid19.rar con who_covid19.doc dentro, covid19guide.rar con covid19guide.doc dentro, covid-19.doc
Allarme remote access trojan Nerbian
I messaggi che pretendono di provenire dall’OMS e dovrebbero includere misure di sicurezza relative a Covid-19 contengono un documento Word con macro. Le e-mail contengono un allegato Word carico di macro (a volte compresso con RAR). Quando le macro sono attivate, il documento rivela informazioni relative al Covid-19. In particolare sull’autoisolamento e sulla cura degli individui affetti dal virus. È interessante notare che l’escaè molto simile ai temi utilizzati nei primi giorni della pandemia nel 2020.
