Go programlama dilinde yazılmış daha önce belgelenmemiş bir uzaktan erişim truva atı (RAT), İtalya, İspanya ve Birleşik Krallık’taki varlıkları orantısız bir şekilde hedef aldı.
İsminde nerbian RAT kurumsal güvenlik firması Proofpoint tarafından, yeni kötü amaçlı yazılım, 26 Nisan 2022’de başlayan düşük hacimli e-posta kaynaklı kimlik avı kampanyasının bir parçası olarak yayılmak için COVID-19 temalı cazibelerden yararlanıyor.
Proofpoint araştırmacıları, “Yeni tanımlanan Nerbian RAT, birden çok açık kaynak kitaplığı da dahil olmak üzere, çeşitli aşamalara yayılmış birden çok anti-analiz bileşeninden yararlanıyor.” dedim The Hacker News ile paylaşılan bir raporda.
“İşletim sistemi (OS) agnostik Go programlama dilinde yazılmıştır, 64 bit sistemler için derlenmiştir ve ağ analizinden daha fazla kaçınmak için çeşitli şifreleme rutinlerinden yararlanır.”
Sayısı 100’den az olan mesajlar, Dünya Sağlık Örgütü’nden COVID-19 ile ilgili güvenlik önlemleri hakkında olduğunu iddia ediyor ve potansiyel mağdurları “en son sağlık tavsiyesine” erişmek için makro bağlantılı bir Microsoft Word belgesi açmaya çağırıyor.
Makroların etkinleştirilmesi, kendi kendine izolasyon adımları da dahil olmak üzere COVID-19 rehberliğini görüntülerken, arka planda gömülü makro, Nerbian RAT (“MoUsoCore. exe”) uzak bir sunucudan.
Damlalık ayrıca açık kaynaktan da yararlanır. chacal “anti-VM çerçevesi” tersine mühendisliği zorlaştırıyor, bunu tersine çevirme kontrollerini gerçekleştirmek için kullanıyor ve herhangi bir hata ayıklayıcı veya bellek analiz programıyla karşılaşması durumunda kendini sonlandırıyor.
Uzaktan erişim truva atı, sonuçları sunucuya geri göndermeden önce tuş vuruşlarını günlüğe kaydetmek, ekran görüntülerini yakalamak ve keyfi komutları yürütmek için donatılmıştır.
Hem damlalık hem de RAT’ın aynı yazar tarafından geliştirildiği söylense de, tehdit aktörünün kimliği henüz bilinmiyor.
Ayrıca, Proofpoint, dropper’ın gelecekteki saldırılarda farklı yükler sağlamak üzere özelleştirilebileceği konusunda uyardı, ancak mevcut haliyle yalnızca Nerbian RAT’ı alabilir.
Proofpoint’te tehdit araştırma ve tespit başkan yardımcısı Sherrod DeGrippo yaptığı açıklamada, “Kötü amaçlı yazılım yazarları, açık kaynak yeteneği ile suç fırsatının kesiştiği noktada çalışmaya devam ediyor.” Dedi.
