Detecção do Nerbian RAT: Novo Cavalo de Troia que Utiliza Iscas de Covid-19 para Alvejar Usuários Europeus
Índice:
Outro dia, outro RAT está encontrando seu caminho nos sistemas de interesse dos hackers. Desta vez, o trojan chamado Nerbian RAT está em destaque, aproveitando atrativos da Covid-19 e da Organização Mundial da Saúde para seguir com ataques direcionados contra usuários na Itália, Espanha e Reino Unido. A ameaça recém-descoberta é escrita em Go, tornando o malware independente do sistema operacional e capaz de atingir tanto usuários de Windows quanto de Linux.
Detectar Nerbian RAT
Detectar a possível criação de tarefa agendada ‘Nerbian’ com uma regra baseada em Sigma desenvolvida por um engenheiro de detecção experiente do Programa de Recompensa por Ameaças Kyaw Pyiyt Htet:
Possível Criação de Tarefa Agendada ‘Nerbian’ (via Cmdline)
A detecção está disponível para as 23 plataformas SIEM, EDR & XDR, alinhada com a última versão do MITRE ATT&CK® v.10, abordando a tática de Execução com Tarefa/Trabalho Agendado (T1053, T1053.005) como técnica principal.
A SOC Prime permite aos caçadores de ameaças otimizar recursos, oferecendo conteúdo de detecção de ameaças em tempo real. Nossa coleção de regras possui mais de 185.000 detecções únicas, com mais de 140 novos itens de detecção adicionados a cada mês. O Ver Detecções botão levará você ao oásis de regras Sigma e YARA dirigidas pela comunidade que irão ajudar você a avançar o progresso das operações do seu SOC.
Ver Detecções Junte-se ao Threat Bounty
Descrição do Nerbian RAT
De acordo com a investigação aprofundada da Proofpoint, o Trojan de acesso remoto Nerbian é um malware novo e sofisticado impulsionado por capacidades impressionantes de evasão. O Trojan é escrito na linguagem de programação Go e utiliza várias bibliotecas Go de código aberto para realizar ações maliciosas. Tal truque torna o Nerbian uma ferramenta multiuso capaz de atingir todos os principais sistemas operacionais. Além das capacidades de análise cruzada de OS e anti-análise, o RAT suporta uma série de outras funções maliciosas, como keylogging, captura de tela e comunicações C2 baseadas em SSL.
Nesta campanha, os operadores do Nerbian RAT imitam a Organização Mundial da Saúde (OMS), enviando alertas falsos sobre procedimentos de auto-isolamento relacionados à COVID-19. Os e-mails distribuídos nesta campanha de spam contêm um documento do Microsoft Word com macros. Quando habilitado, ele busca um dropper Nerbian RAT de 64 bits.
O analista de segurança detectou pela primeira vez a campanha de malware via e-mail no final de abril de 2022. Atualmente, o volume da campanha de distribuição do malware Nerbian RAT é considerado insignificante; no entanto, os analistas da Proofpoint alertam que a cepa é tecnicamente sofisticada e possui um amplo potencial malicioso. Então, todas as evidências sugerem que o Nerbian RAT já começou bem neste curto período.
Participe da plataforma Detection as Code da SOC Prime para desbloquear acesso ao maior pool ao vivo de conteúdo de detecção criado pelos líderes do setor para aumentar a segurança do seu ambiente. SOC Prime, com sede em Boston, EUA, é alimentado por uma equipe internacional de especialistas experientes em SOC dedicados a capacitar a defesa cibernética colaborativa. Resista a ataques de forma mais eficiente com a SOC Prime.
