Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nerbian es un nuevo troyano RAT escrito en GO de posible origen Español


Los troyanos de acceso remoto (Remote Access Trojan), un tipo de malware con un comportamiento que puede llegar a ser bastante parecido al de las herramientas de administración remota legítimas, pero que como ya puedes imaginar es empleado con intenciones mucho menos saludables. Nerbian RAT está programado en Go, un lenguaje que está ganando mucha tracción también en el mundo de la ciberdelincuencia, y que está siendo empleado en campañas que apuntan a España, Italia y Reino Unido.



Nerbian RAT se distribuye a través de una campaña de phishing que utiliza correos electrónicos falsos relacionados con el COVID-19. Los correos electrónicos están disfrazados para ser enviados por la Organización Mundial de la Salud con respecto a las medidas de seguridad relacionadas con COVID-19.




Además, se alienta a las víctimas a abrir un documento de MS Word con macros para recibir los últimos consejos de salud de la organización. Los investigadores señalaron además que la campaña ha estado activa desde el 26 de abril de 2022.



Si habilitas las macros del documento (cagada) aparece una guía de COVID-19 que informa a la víctima sobre los pasos de autoaislamiento. Sin embargo, en segundo plano, la macro incrustada inicia una cadena de infección......

RAT

No es casual que ambas categorías de software compartan acrónimo, pero sí que es importante aclarar que no son exactamente lo mismo. Las herramientas de acceso remoto son, en origen, legítimas, y entre otras cosas, no suelen ocultar su funcionamiento, algo que sí que hacen los troyanos con los que comparten parte de su funcionalidad. Una herramienta de administración remota también puede llegar a ser empleada con aviesas intenciones, pero no han sido diseñadas para tal fin y, por lo tanto, no lo facilitan tanto como un troyano de acceso remoto.

Nerbian es capaz de capturas pulsaciones de teclado, ejecutar todo tipo de comandos, realizar capturas de pantalla y exfiltrar toda la información capturada a un servidor de comando y control operado por sus responsables. A este respecto, es decir, sobre su autoría, de momento se desconoce quién está detrás de este RAT, por lo que solo se pueden hacer algunas suposiciones, como la que he planteado antes sobre el posible origen español de sus autores.

En cuanto a su distribución, se ha identificado una campaña de phishing, con correos que simulan ser de la Organización Mundial de la Salud y que supuestamente ofrecen información sobre el coronavirus, un tema que a día de hoy sigue siendo muy explotado por los ciberdelincuentes en campañas de phishing y spearphishing. Dicho email lleva adjunto un documento de Word (con macros, por supuesto) con consejos de la organización a los ciudadanos para prevenir el contagio.

A diferencia de otros casos, en esta ocasión el documento sí que ofrece la información prometida, pero mientras se muestra la información, el malware actúa en segundo plano. De su mano se descarga la primera carga útil, un ejecutable de 64 bits denominado UpdateUAV.exe, escrito en Golang, de 3,5 megabytes de tamaño y empaquetado en UPX, que a partir de su descarga e instalación será el responsable de proporcionar acceso a los atacantes, así como de administrar sus actividades y su propia presencia en el sistema comprometido.


Fuentes:

https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques

https://www.hackread.com/fake-who-covid-safety-emails-nerbian-rat-europe/

https://www.muyseguridad.net/2022/05/11/nerbian-un-nuevo-rat-que-golpea-en-nuestro-pais/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.