BleepingComputer透露,网络安全研究人员发现了一种名为NerbianRAT的新型恶意软件,它能够逃避研究人员的检测和分析。Proofpoint的安全研究人员首先发现了新的恶意软件,并发布了一份关于新的NerbianRAT恶意软件的报告。据报道,新的恶意软件变体是用Go语言编写的,使其成为跨平台的64位威胁。目前,该恶意软件正在通过使用宏文档附件的小规模电子邮件分发活动进行传播。伪装成世界卫生组织(WHO)的恶意软件背后的操纵者正在分发NerbianRAT恶意软件,据称该恶意软件正在向目标发送COVID-19消息。在最新活动中看到的网络钓鱼电子邮件(Proofpoint)RAR附件包含一个带有恶意宏代码的Word文档,一个bat文件,如果在内容设置为“启用”的MicrosoftOffice上打开,它会执行PowerShell步骤,下载一个64位释放器。这个名为UpdateUAV.exe的dropper也是用Golang编写的,并用UPX打包以保持其大小可控。在部署NerbianRAT之前,UpdateUAV重用了来自各种GitHub项目的代码,以整合一套丰富的反分析和检测规避机制。除此之外,dropper还通过创建计划任务来建立持久性以每小时启动RAT。Proofpoint总结了下面的反分析工具列表。检查逆向工程或调试器的进程列表检查可疑的MAC地址检查WMI字符串以查看磁盘名称是否合法检查硬盘大小是否低于100GB,这是虚拟机的典型值检查进程中的任何内存list分析或篡改检测程序检查自执行以来的时间量,并使用IsDebuggerPresentAPI将其与设置的阈值进行比较,以确定是否正在调试可执行文件。上述所有这些检查使得RAT几乎不可能在沙盒、虚拟化环境中运行,从而确保恶意软件操作者的长期隐蔽。NerbianRAT的功能特点NerbianRAT恶意软件以“MoUsoCore.exe”的形式下载,然后保存到“C:\ProgramData\USOShared\”。它支持多种功能,背后的运营商可以选择配置其中的一部分。值得注意的是,它有两个值得注意的功能,一个以加密形式存储击键的键盘记录器,以及一个适用于所有操作系统平台的屏幕捕获工具。此外,它与C2服务器的通信是通过SSL(安全套接字层)处理的,因此所有数据交换都经过加密和保护,有效防止网络扫描工具在传输过程中对其进行检查。应密切关注完整的感染过程(Proofpoint)。毫无疑问,Proofpoint发现的NerbianRAT是一种有趣且复杂的新型恶意软件,它通过广泛的检查、通信加密和代码混淆来专注于隐身。不过,就目前而言,NerbianRAT恶意软件正在通过低容量电子邮件活动进行分发,因此它不是大规模威胁,但如果其背后的人决定将其传播到更广泛的网络犯罪社区,情况可能会非常糟糕。参考文章:https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-m??alware-spotted-in-ongoing-attacks/
