Un troyano de acceso remoto (RAT) previamente no documentado escrito en el lenguaje de programación Go ha sido detectado desproporcionadamente dirigido a entidades en Italia, España y el Reino Unido.
Llamado rata nerbia por la firma de seguridad empresarial Proofpoint, el nuevo malware aprovecha los señuelos temáticos de COVID-19 para propagarse como parte de una campaña de phishing transmitida por correo electrónico de bajo volumen que comenzó el 26 de abril de 2022.
«La RAT de Nerbian recientemente identificada aprovecha varios componentes antianálisis repartidos en varias etapas, incluidas varias bibliotecas de código abierto», investigadores de Proofpoint. dicho en un informe compartido con The Hacker News.
«Está escrito en el lenguaje de programación Go independiente del sistema operativo (SO), compilado para sistemas de 64 bits y aprovecha varias rutinas de cifrado para evadir aún más el análisis de red».
Los mensajes, que suman menos de 100, pretenden ser de la Organización Mundial de la Salud sobre medidas de seguridad relacionadas con COVID-19, instando a las posibles víctimas a abrir un documento de Microsoft Word con macros para acceder a los «últimos consejos de salud».
Habilitar las macros muestra la guía de COVID-19, incluidos los pasos para el autoaislamiento, mientras que, en segundo plano, la macro integrada desencadena una cadena de infección que entrega una carga llamada «UpdateUAV.exe», que actúa como cuentagotas para Nerbian RAT («MoUsoCore. exe») desde un servidor remoto.
El cuentagotas también hace uso del código abierto Chacal «marco anti-VM» para dificultar la ingeniería inversa, usándolo para llevar a cabo comprobaciones anti-reversa y terminar si encuentra algún depurador o programa de análisis de memoria.
El troyano de acceso remoto, por su parte, está equipado para registrar pulsaciones de teclas, capturar capturas de pantalla y ejecutar comandos arbitrarios, antes de filtrar los resultados al servidor.
Si bien se dice que tanto el cuentagotas como el RAT fueron desarrollados por el mismo autor, la identidad del actor de la amenaza aún se desconoce.
Además, Proofpoint advirtió que el cuentagotas podría personalizarse para entregar diferentes cargas útiles en futuros ataques, aunque en su forma actual, solo puede recuperar la RAT de Nerbian.
«Los autores de malware continúan operando en la intersección de la capacidad de código abierto y la oportunidad criminal», dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, en un comunicado.