Detección de Nerbian RAT: Nuevo troyano que utiliza señuelos de Covid-19 para atacar a usuarios europeos

Otro día, otro RAT se infiltra en los sistemas de interés de los hackers. Esta vez el troyano llamado Nerbian RAT está en el centro de atención, aprovechando los cebos de Covid-19 y de la Organización Mundial de la Salud para proceder con ataques dirigidos contra usuarios en Italia, España y el Reino Unido. La amenaza recién descubierta está escrita en Go, lo que hace que el malware sea independiente del sistema operativo y capaz de apuntar tanto a usuarios de Windows como de Linux.

Detectar Nerbian RAT

Detectar la posible creación de tarea programada de ‘Nerbian’ con una regla basada en SIgma desarrollada por un experimentado ingeniero de detección del Programa de Recompensas de Amenazas Kyaw Pyiyt Htet:

Posible Creación de Tarea Programada de ‘Nerbian’ RAT (vía Cmdline)

La detección está disponible para plataformas SIEM, EDR y XDR, alineadas con el último marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Tarea/Trabajo Programado (T1053, T1053.005) como técnica principal.

SOC Prime permite a los cazadores de amenazas optimizar recursos, ofreciendo contenido de detección de amenazas en tiempo real. Nuestra colección de reglas cuenta con más de 185,000 detecciones únicas, con más de 140 nuevos elementos de detección añadidos cada mes. El Ver Detecciones botón te llevará al oasis de reglas Sigma y YARA impulsadas por la comunidad que te ayudarán a avanzar en el progreso de tus operaciones SOC.

Ver Detecciones Únete a Threat Bounty

Descripción de Nerbian RAT

Según la investigación exhaustiva de Proofpoint, el troyano de acceso remoto Nerbian es un malware novedoso y sofisticado impulsado por impresionantes capacidades evasivas. El troyano está escrito en el lenguaje de programación Go y utiliza varias librerías de Go de código abierto para realizar acciones maliciosas. Tal maniobra convierte a Nerbian en una herramienta multipropósito capaz de atacar a todos los sistemas operativos principales. Además de las capacidades cruzadas entre sistemas operativos y anti-análisis, el RAT soporta un conjunto de otras funciones maliciosas como la captura de teclas, captura de pantalla, y comunicaciones C2 basadas en SSL.

En esta campaña, los operadores de Nerbian RAT imitan a la Organización Mundial de la Salud (OMS), enviando alertas falsas sobre procedimientos de autoaislamiento relacionados con COVID-19. Los correos electrónicos distribuidos en esta campaña de spam contienen un documento de Microsoft Word con macros. Cuando se activan, obtiene un cargador de 64 bits del Nerbian RAT.

El analista de seguridad detectó por primera vez la campaña de malware transmitida por correo electrónico a finales de abril de 2022. Actualmente, el volumen de la campaña que distribuye el malware Nerbian RAT se considera más bien insignificante; sin embargo, los analistas de Proofpoint advierten que la cepa es técnicamente sofisticada y posee un potencial malicioso considerable. Así que toda evidencia apunta a que el Nerbian RAT ya ha tenido un buen comienzo en este corto tiempo.

Únete a plataforma Detection as Code de SOC Prime para desbloquear el acceso al mayor conjunto en vivo de contenido de detección creado por líderes de la industria para mejorar la seguridad de tu entorno. SOC Prime, con sede en Boston, EE. UU., está impulsado por un equipo internacional de expertos SOC experimentados dedicados a permitir una defensa cibernética colaborativa. Resiste ataques de manera más eficiente con SOC Prime.