Un cheval de Troie d’accès à distance (RAT) précédemment non documenté écrit dans le langage de programmation Go a été repéré ciblant de manière disproportionnée des entités en Italie, en Espagne et au Royaume-Uni
Appelé RAT nerbien par la société de sécurité d’entreprise Proofpoint, le nouveau malware exploite les leurres sur le thème du COVID-19 pour se propager dans le cadre d’une campagne de phishing par e-mail à faible volume qui a débuté le 26 avril 2022.
« Le Nerbian RAT nouvellement identifié exploite plusieurs composants anti-analyse répartis sur plusieurs étapes, y compris plusieurs bibliothèques open source », ont déclaré les chercheurs de Proofpoint. mentionné dans un rapport partagé avec The Hacker News.
« Il est écrit dans un langage de programmation Go indépendant du système d’exploitation (OS), compilé pour les systèmes 64 bits, et exploite plusieurs routines de chiffrement pour échapper davantage à l’analyse du réseau. »
Les messages, au nombre de moins de 100, prétendent provenir de l’Organisation mondiale de la santé sur les mesures de sécurité liées au COVID-19, exhortant les victimes potentielles à ouvrir un document Microsoft Word macro pour accéder aux « derniers conseils de santé ».
L’activation des macros affiche les conseils COVID-19, y compris les étapes d’auto-isolement, tandis qu’en arrière-plan, la macro intégrée déclenche une chaîne d’infection qui fournit une charge utile appelée « UpdateUAV.exe », qui agit comme un compte-gouttes pour Nerbian RAT (« MoUsoCore. exe ») à partir d’un serveur distant.
Le compte-gouttes utilise également l’open-source Chacal « cadre anti-VM » pour rendre l’ingénierie inverse difficile, en l’utilisant pour effectuer des vérifications anti-inversion et en se terminant s’il rencontre des débogueurs ou des programmes d’analyse de mémoire.
Le cheval de Troie d’accès à distance, pour sa part, est équipé pour enregistrer les frappes au clavier, capturer des captures d’écran et exécuter des commandes arbitraires, avant d’exfiltrer les résultats vers le serveur.
Alors que le compte-gouttes et le RAT auraient été développés par le même auteur, l’identité de l’acteur de la menace reste encore inconnue.
En outre, Proofpoint a averti que le compte-gouttes pourrait être personnalisé pour fournir différentes charges utiles lors d’attaques futures, bien que dans sa forme actuelle, il ne puisse récupérer que le RAT Nerbian.
« Les auteurs de logiciels malveillants continuent d’opérer à l’intersection des capacités open source et des opportunités criminelles », a déclaré Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, dans un communiqué.