Nerbian RAT از استفاده از فریب های فیشینگ Covid-19 لذت می برد

دو سال از اولین موج همه گیری کووید-19و کروناویروس جدید برای مجرمان سایبری که همچنان به استفاده از آن در کمپین های فیشینگ خود ادامه می دهند وسوسه انگیزی برای مقاومت باقی می ماند.

یک بدافزار تازه کشف‌شده با استفاده از فریب‌های Covid-19، Nerbian RAT نامگذاری شده است – Nerbia یک مکان خیالی در میگل د سروانتس است. دن کیشوت، اشاره به گنجاندن آن در کد بدافزار – که توسط محققان Proofpoint پیگیری شده است.

فریبنده های Nerbian RAT تاکنون در یک کمپین ارسال ایمیل با حجم کم که کاربران را در ایتالیا، اسپانیا و بریتانیا هدف قرار داده است، ادعا می کند که نماینده سازمان بهداشت جهانی (WHO) است و ادعا می کند اطلاعات مهمی در مورد کووید-19 است. این فریب همچنین حاوی آرم های اداره خدمات بهداشتی ایرلند (HSE)، دولت ایرلند و شورای ملی نابینایان ایرلند (NCBI) است.

اطلاعات – که به نظر می‌رسد توصیه‌های استاندارد در مورد بهترین عملکرد خود انزوا است – در یک سند Word ضمیمه حاوی ماکروها موجود است که وقتی قربانی فعال می‌کند، به سند اجازه می‌دهد یک فایل bat را رها کند که به نوبه خود قطره‌کن Nerbian RAT را بازیابی می‌کند.

Nerbian RAT خود تا حدودی پیچیده است تروجان دسترسی از راه دور – از این رو RAT – که از انواع عملکردهای مخرب مانند keylogging، ضبط صفحه و ارتباطات از طریق SSL با زیرساخت C2 خود پشتیبانی می کند. همچنین حاوی تعدادی بررسی برای جلوگیری از اشکال زدایی یا مهندسی معکوس توسط قربانیان است.

با این حال، شاید برای نوشته شدن در آن بیشتر قابل توجه باشد زبان برنامه نویسی Go، و از چندین کتابخانه متن باز Go برای انجام فعالیت های مخرب خود استفاده می کند. همانطور که Sherrod DeGrippo، معاون تحقیقات و شناسایی تهدیدات در Proofpoint، خاطرنشان کرد: “نویسندگان بدافزار به فعالیت خود در تقاطع قابلیت منبع باز و فرصت های مجرمانه ادامه می دهند.”

Go، یا Golang، به طور فزاینده ای مورد علاقه عوامل تهدید قرار می گیرد، احتمالاً به این دلیل که استفاده از آن نسبت به زبان های دیگر آسان تر است و مانع ورود کمتر است.

این زبان همچنین به حدی رسیده است که در حال تبدیل شدن به یک زبان «برو» برای توسعه دهندگان بدافزار است، هم در سطح تهدید دائمی پیشرفته (APT) و هم در سطح کالا. بدافزارهای مبتنی بر Go اکنون به طور منظم ظاهر می شوند و اکثر سیستم عامل های اصلی را هدف قرار می دهند. در 12 ماه گذشته، Go به طور فزاینده ای برای جمع آوری مراحل اولیه برای Cobalt Strike نیز استفاده شده است.

یکی به تازگی بدافزار Go-coded را شناسایی کرده است دنونیا است، یک رمزنگاری نسبتاً بی ضرر به نظر می رسد که به نظر می رسد به طور خاص برای هدف قرار دادن محیط های Lambda خدمات وب آمازون (AWS) طراحی شده است و به این ترتیب ممکن است اولین مورد در جهان باشد – اگرچه توجه داشته باشید که AWS توصیف آن را به عنوان یک بدافزار رد می کند.

تحقیقات سال 2021 توسط تحلیلگران بلک بری چهار زبان غیرمعمول را که ابزارهای تشخیص آنها مشاهده کرده بودند به طور مخرب مورد استفاده قرار می‌گرفتند – Go، D، Nim و Rust – و یک توافق کلی یافتند که عوامل مخرب نیز از این زبان‌ها حمایت می‌کنند، زیرا هنوز نسبتاً غیر معمول هستند، بنابراین اعتقاد به این ممکن است به فرار از حملات آنها کمک کند. تشخیص و مانع از تجزیه و تحلیل

سایر نکات مثبت شامل توانایی کامپایل متقابل بدافزارهای جدید است که می توانند همزمان محیط های Windows و MacOS را هدف قرار دهند.

اطلاعات بیشتر در مورد Nerbian RAT، از جمله شاخص های سازش (IoCs) و قوانین Yara برای مدافعان، از Proofpoint در دسترس است.