Proofpoint: il remote access trojan Nerbian sfrutta Covid-19 e OMS

La nuova variante di malware identificata da poco ha preso di mira anche l’Itlaia

Protezione phishing remote access trojan

Proofpoint ha identificato il remote access trojan Nerbian. Basato su librerie open source e dotato di tecniche avanzate di evasione, sfrutta i temi Covid-19 e OMS. La nuova variante di malware si avvale di significative capacità anti-analisi e anti-reversione. Scritto nel linguaggio di programmazione Go, utilizza più librerie open-source Go per condurre attività dannose. Denominato Nerbian remote access trojan (RAT), questo malware sfrutta temi legati al Covid-19 e all’Organizzazione Mondiale della Sanità per diffondersi.

Covid-19 e OMS

Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint
La disponibilità di funzionalità open source e le opportunità di massimizzare il loro ritorno criminale guidano come sempre le azioni degli autori di malware.

I ricercatori di Proofpoint hanno denominato il malware sulla base di una funzione che viene nominata nel codice del malware. Nerbia è un luogo immaginario del romanzo Don Chisciotte.

Cosa sfrutta il remote access trojan Nerbian

Il RAT Nerbian appena identificato sfrutta più componenti anti-analisi in diverse fasi, comprese diverse librerie open source. È scritto in un linguaggio di programmazione Go agnostico al sistema operativo (OS), compilato per sistemi a 64 bit. Sfrutta diverse routine di crittografia per eludere l’analisi della rete. Il linguaggio Go è sempre più diffuso tra gli attori delle minacce, probabilmente a causa della sua facilità d’uso.

Dettagli della campagna

A partire dal 26 aprile 2022, i ricercatori Proofpoint hanno osservato una campagna malware a basso volume (meno di 100 messaggi) inviata via e-mail a più settori. La minaccia ha un impatto particolarmente sbilanciato verso entità in Italia, Spagna e Regno Unito. Le e-mail affermano di rappresentare l’OMS con importanti informazioni riguardanti Covid-19.

Come si presentano i messaggi

I ricercatori di Proofpoint hanno osservato i seguenti indicatori e allegati:

  • Da: who.inter.svc@gmail[.]com, announce@who-international[.]com
  • Soggetti: OMS, Organizzazione Mondiale della Sanità
  • Nomi e tipologie di allegati: who_covid19.rar con who_covid19.doc dentro, covid19guide.rar con covid19guide.doc dentro, covid-19.doc

Allarme remote access trojan Nerbian

I messaggi che pretendono di provenire dall’OMS e dovrebbero includere misure di sicurezza relative a Covid-19 contengono un documento Word con macro. Le e-mail contengono un allegato Word carico di macro (a volte compresso con RAR). Quando le macro sono attivate, il documento rivela informazioni relative al Covid-19. In particolare sull’autoisolamento e sulla cura degli individui affetti dal virus. È interessante notare che l’esca è molto simile ai temi utilizzati nei primi giorni della pandemia nel 2020.