Araştırmacılar tarafından tespit ve analizden kaçınma yeteneği de dahil olmak üzere zengin bir dizi özellik içeren Nerbian Rat adlı yeni bir uzaktan erişim Truva atı keşfedildi.
Yeni kötü amaçlı yazılım varyantı Go'da yazılmıştır, bu da onu platformlar arası 64 bit tehdit haline getirir ve şu anda makrolarla bağlanmış belge eklerini kullanan küçük ölçekli bir e-posta dağıtım kampanyası aracılığıyla dağıtılmaktadır.
E -posta kampanyaları, bugün Yeni Nerbian Rat kötü amaçlı yazılım hakkında bir rapor yayınlayan Proofpoint'teki araştırmacılar tarafından keşfedildi.
Nerbian Rat dağıtan kötü amaçlı yazılım kampanyası, Covid-19 bilgisini hedeflere gönderdiği iddia edilen Dünya Sağlık Örgütü'nü (WHO) taklit ediyor.
RAR ekleri kötü amaçlı makro kodu ile bağlanmış kelime belgeleri içerir, bu nedenle Microsoft Office'te "Etkin" olarak ayarlanmış içerikle açılırsa, bir yarasa dosyası 64 bit damlalık indirmek için bir PowerShell yürütme adımı gerçekleştirir.
"UpdateUav.exe" adlı damlalık da Golang'da yazılmıştır ve boyutu yönetilebilir tutmak için UPX'te paketlenmiştir.
UpdateUAV, Nerbian Rat konuşlandırılmadan önce zengin bir dizi anti-analizi ve tespit-evlenme mekanizmalarını dahil etmek için çeşitli GitHub projelerinden kodu yeniden kullanır.
Bunun dışında, damlalık, her saatte o sıçan başlatan planlanmış bir görev yaratarak da kalıcılık oluşturur.
Proofpoint, anti-analiz araçlarının listesini aşağıdaki gibi özetler:
Tüm bu kontroller, sıçanın kum havuzu, sanallaştırılmış bir ortamda çalışmasını sağlamayı neredeyse imkansız kılar ve kötü amaçlı yazılım operatörleri için uzun vadeli gizli olmayı sağlar.
Truva atı "Mousocore.exe" olarak indirilir ve "C: \ ProgramData \ Usoshared \" e kaydedilir. Birkaç işlevi desteklerken, operatörleri bazılarıyla yapılandırma seçeneğine sahiptir.
Dikkate değer işlevlerinden ikisi, tuş vuruşlarını şifreli biçimde ve tüm işletim sistemi platformlarında çalışan bir ekran yakalama aracı depolayan bir keylogger'dır.
C2 sunucusu ile iletişim SSL (güvenli soket katmanı) üzerinden işlenir, böylece tüm veri alışverişleri şifrelenir ve ağ tarama araçlarından transit muayenesinden korunur.
Şüphesiz, Proofpoint çok sayıda kontrol, şifreli iletişim ve kod gizlemesi yoluyla gizlice odaklanan ilginç, karmaşık yeni bir kötü amaçlı yazılım tespit etti.
Şimdilik, Nerbian Rat düşük hacimli e-posta kampanyaları ile dağıtılıyor, bu yüzden henüz büyük bir tehdit değil, ancak yazarları işlerini daha geniş siber suç topluluğuna açmaya karar verirse bu değişebilir.
Yeni NetDooka kötü amaçlı yazılım, zehirli arama sonuçlarıyla yayılıyor
Sıçan kötü amaçlı yazılım sunmak için kullanılan kötü amaçlı microsoft excel eklentileri
Emotet Botnet 64 bit modüllere geçiş yapar, etkinliği artırır
Yeni Android Bankacılık Kötü Yazılım Uzaktan Cihazınızın Kontrolü
Bilgisayar korsanları, Hint Govt çalışanlarına karşı değiştirilmiş MFA aracı kullanıyor
Kaynak: Bleeping Computer