Este nuevo troyano está utilizando sofisticadas técnicas de antidetección
Investigadores de Proofpoint descubrieron que un troyano de acceso remoto (RAT) complejo y recientemente descubierto se está propagando a través de campañas de correo electrónico malicioso. Los correos utilizan señuelos de COVID-19 e incluye numerosas funciones para evadir el análisis o la detección por parte de los investigadores.
Troyano Nerbian
Llamado Nerbian RAT por los investigadores, la nueva variante de malware está escrita en el lenguaje de programación Go y funciona en diversos sistemas operativos. Además, “utiliza capacidades significativas de antianálisis y antirreversión”, según una publicación realizada en el blog de Proofpoint.
El nombre designado por los investigadores de Proofpoint se basa en una función con nombre en el código del malware y parece derivar de “Nerbia”. Nerbia es un lugar ficticio de la novela Don Quijote.
Los investigadores de Proofpoint observaron por primera vez que el RAT se distribuía en una campaña de correo electrónico de bajo volumen. La campaña comenzó el 26 de abril con mensajes enviados a múltiples industrias, principalmente a organizaciones reconocidas en Italia, España y el Reino Unido.
Los correos electrónicos afirmaban representar a la Organización Mundial de la Salud (OMS) con información importante sobre COVID-19. Según los investigadores, los mensajes son una copia de campañas de phishing similares que circularon en 2020 en los primeros días de la pandemia.
Los correos electrónicos de muestra compartidos en la publicación se envían desde direcciones de correo electrónico que intentan aparecer como si vinieran de la OMS. Por ejemplo, who.inter.svc@gmail[.]com y Announce@who-international[.]com, y usan como asunto OMS o World Health Organization.
Los mensajes incluyen medidas de seguridad relacionadas con COVID-19, así como archivos adjuntos que también incluyen “covid19” en sus nombres. No obstante, en realidad son documentos de Word que contienen macros maliciosos.
Go se está convirtiendo en un lenguaje de programación cada vez más popular utilizado por los actores de amenazas. Quizás, debido a su menor dificultad de aprendizaje y facilidad de uso.
Complejidad y Evasión
Nerbian RAT aprovecha múltiples componentes antianálisis repartidos en varias etapas, incluidas múltiples bibliotecas de código abierto.
De hecho, el malware muestra sofisticación y funciona en tres fases distintas. Comienza con el documento malicioso antes mencionado que se difunde a través del phishing y luego pasa, como se observó, al instalador UpdateUAV.exe. El instalador realiza varios análisis del entorno, como comprobaciones anti-reversing y anti-VM, antes de ejecutar Nerbian RAT.
Eventualmente, el RAT en sí se ejecuta a través de un archivo de configuración cifrado, con “extremo cuidado”. Esto para garantizar que los datos para comando y control (C&C) estén cifrados enviándolos a través de Secure Sockets Layer (SSL), que evade la inspección por parte herramientas de escaneo de red.
Además de la comunicación con C&C, otras cosas típicas de RAT que el malware puede hacer incluyen registro de teclas y captura de pantalla. No obstante, con su propio estilo particular. El registrador de teclas de RAT almacena las pulsaciones de teclas en forma cifrada, mientras que su herramienta de captura de pantalla funciona en todas las plataformas de sistemas operativos.
Verificación extrema
Quizás la funcionalidad de evasión más compleja en el proceso de tres etapas es lo que sucede antes de que el instalador ejecute el RAT Nerbian. El instalador realiza una investigación exhaustiva del host comprometido y detiene la ejecución si encuentra alguna de una serie de condiciones.
Estas condiciones incluyen: el tamaño del disco duro del sistema es inferior a cierto tamaño, es decir, 100 GB; el nombre del disco duro, según WMI, contiene “virtual”, “vbox” o “vmware”. Asimismo, si la dirección MAC consultada devuelve ciertos valores OUI; o si se encuentra alguno de varios programas de ingeniería inversa/depuración en la lista de procesos-
El instalador también detiene la ejecución si los programas de análisis/manipulación de memoria DumpIt.exe, RAMMap.exe, RAMMap64.exe o vmmap.exe están presentes en la lista de procesos. Y, si la cantidad de tiempo transcurrido para ejecutar funciones específicas se considera “excesiva”, lo que sugeriría una depuración, mediante una función de medición de tiempo presente en el instalador, se detiene la ejecución.
Sin embargo, a pesar de toda esta complejidad para garantizar que el RAT no se detecte en su camino hacia la máquina de una víctima, el instalador y el RAT en sí no emplean una gran ofuscación fuera de la muestra que se empaqueta con UPX. Esto se puede argumentar que no es necesariamente para la ofuscación, sino simplemente para reducir el tamaño del ejecutable.
A los investigadores también les resultó fácil inferir la mayor parte de la funcionalidad tanto del RAT como del instalador. Esto debido a las cadenas en el código que se refieren a los repositorios de GitHub que exponen la funcionalidad parcial tanto del instalador como del RAT.