Ein bisher nicht dokumentierter Remote-Access-Trojaner (RAT), der in der Programmiersprache Go geschrieben wurde, wurde entdeckt, der es vor allem auf Unternehmen in Italien, Spanien und Großbritannien abgesehen hat.
Die neuartige Malware, die von der Sicherheitsfirma Proofpoint als Nerbian RAT bezeichnet wird, nutzt COVID-19-ähnliche Köder, um sich im Rahmen einer E-Mail-Phishing-Kampagne zu verbreiten, die am 26. April 2022 begann.
„Der neu entdeckte Nerbian RAT nutzt mehrere Anti-Analyse-Komponenten, die über mehrere Stufen verteilt sind, darunter mehrere Open-Source-Bibliotheken“, so die Forscher von Proofpoint in einem Bericht, der The Hacker News vorliegt.
„Es ist in der betriebssystemunabhängigen Programmiersprache Go geschrieben, für 64-Bit-Systeme kompiliert und nutzt mehrere Verschlüsselungsroutinen, um die Netzwerkanalyse zu umgehen.
Die weniger als 100 Nachrichten geben vor, von der Weltgesundheitsorganisation zu stammen und über Sicherheitsmaßnahmen im Zusammenhang mit COVID-19 zu informieren. Sie fordern potenzielle Opfer auf, ein mit einem Makro versehenes Microsoft Word-Dokument zu öffnen, um die „neuesten Gesundheitshinweise“ zu erhalten.
Wenn die Makros aktiviert werden, werden COVID-19-Hinweise angezeigt, darunter auch Schritte zur Selbstisolierung. Im Hintergrund löst das eingebettete Makro eine Infektionskette aus, die eine Nutzlast namens „UpdateUAV.exe“ liefert, die als Dropper für Nerbian RAT („MoUsoCore.exe“) von einem entfernten Server fungiert.
Um das Reverse Engineering zu erschweren, nutzt der Dropper das quelloffene „Anti-VM-Framework“ Chacal, um Anti-Reversing-Prüfungen durchzuführen und sich selbst zu beenden, wenn er auf Debugger oder Speicheranalyseprogramme trifft.
Der Fernzugriffstrojaner ist seinerseits in der Lage, Tastatureingaben zu protokollieren, Screenshots zu erstellen und beliebige Befehle auszuführen, bevor er die Ergebnisse an den Server zurückschickt.
Obwohl sowohl der Dropper als auch der RAT vom selben Autor entwickelt worden sein sollen, ist die Identität des Bedrohungsakteurs noch unbekannt.
Außerdem warnte Proofpoint, dass der Dropper so angepasst werden kann, dass er bei zukünftigen Angriffen verschiedene Nutzdaten liefert, obwohl er in seiner jetzigen Form nur den Nerbian RAT abrufen kann.
„Malware-Autoren operieren weiterhin an der Schnittstelle zwischen Open-Source-Fähigkeiten und kriminellen Möglichkeiten“, sagte Sherrod DeGrippo, Vice President of Threat Research and Detection bei Proofpoint, in einer Stellungnahme.