Dos años después de la primera ola de la pandemia de Covid-19, el nuevo coronavirus sigue siendo un señuelo demasiado tentador para los ciberdelincuentes, que continúan usándolo en sus campañas de phishing.
Un malware recientemente descubierto que usa el cebo Covid-19 se ha denominado Nerbian RAT: Nerbia es una ubicación ficticia en Miguel de Cervantes Don Quijoteuna indicación de que está en el código del malware, que ha sido rastreado por los investigadores de Proofpoint.
Anteriormente utilizados en una campaña de correo electrónico de bajo volumen dirigida a usuarios en Italia, España y el Reino Unido, los señuelos de Nerbian RAT afirman representar a la Organización Mundial de la Salud (OMS) y pretenden admitir información vital sobre Covid-19 be. El señuelo también presenta los logotipos del Ejecutivo del Servicio de Salud de Irlanda (HSE), el Gobierno irlandés y el Consejo Nacional para Ciegos de Irlanda (NCBI).
La información, que parece ser un consejo estándar sobre las mejores prácticas de autoaislamiento, está contenida en un documento de Word adjunto que contiene macros que, cuando la víctima las activa, permiten que el documento suelte un archivo .bat, que a su vez recupera el cuentagotas. de Nerbian RAT.
Nerbian RAT en sí mismo es un troyano de acceso remoto algo complejo (por lo tanto, RAT) que admite una variedad de funciones maliciosas, como el registro de teclas, la grabación de pantalla y la comunicación a través de SSL con su infraestructura C2. También incluye un conjunto de comprobaciones para evitar que las víctimas lo depuren o realicen ingeniería inversa.
Sin embargo, quizás sea más notable porque está escrito en el lenguaje de programación Go y utiliza varias bibliotecas Go de código abierto para llevar a cabo sus actividades maliciosas. Como señaló Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, «los autores de malware continúan operando en la intersección de las habilidades de código abierto y la oportunidad criminal».
Los actores de amenazas prefieren cada vez más Go o Golang, probablemente porque es más fácil de usar que otros idiomas y la barrera de entrada es más baja.
También ha madurado para convertirse en un lenguaje «de referencia» para los autores de malware, tanto a nivel de amenazas persistentes avanzadas (APT) como de productos básicos. El malware basado en Go ahora es una ocurrencia regular, dirigido a la mayoría de los principales sistemas operativos. En los últimos 12 meses, Go también se ha utilizado cada vez más para compilar escenarios iniciales para Cobalt Strike.
Un malware codificado con Go identificado recientemente es Denonia, un criptominero de apariencia relativamente benigna que se destaca porque parece haber sido creado específicamente para los entornos Lambda de Amazon Web Services (AWS) y, como tal, podría ser una primicia mundial, aunque es importante tenga en cuenta que AWS rechaza su caracterización como malware.
La investigación realizada por analistas de BlackBerry en 2021 seleccionó cuatro idiomas poco comunes que sus herramientas de detección habían observado que se usaban de manera maliciosa (Go, D, Nim y Rust) y encontró un consenso general de que los actores maliciosos también favorecen estos idiomas porque todavía lo hacen. relativamente raro, por lo que creen que esto puede ayudar a que sus ataques evadan la detección y dificulten el análisis.
Otras ventajas incluyen la capacidad de compilar nuevo malware que puede apuntar a entornos Windows y macOS al mismo tiempo.
Más información sobre la RAT de Nerbian, incluidos los indicadores de compromiso (IoC) y las reglas de Yara para los defensores, está disponible en Proofpoint.