Dos años después de la primera ola de la pandemia de Covid-19, el nuevo coronavirus sigue siendo un señuelo demasiado tentador para los ciberdelincuentes, que continúan usándolo en sus campañas de phishing.
Un malware recientemente descubierto que utiliza señuelos de Covid-19 se ha denominado Nerbian RAT: Nerbia es una ubicación ficticia en Miguel de Cervantes. Don Quijoteuna referencia a su inclusión en el código del malware, que ha sido rastreado por los investigadores de Proofpoint.
Utilizado hasta ahora en una campaña de correo electrónico de bajo volumen dirigida a usuarios en Italia, España y el Reino Unido, los señuelos de Nerbian RAT afirman representar a la Organización Mundial de la Salud (OMS) y pretenden ser información importante sobre Covid-19. El señuelo también contiene los logotipos del Ejecutivo del Servicio de Salud de Irlanda (HSE), el gobierno irlandés y el Consejo Nacional para Ciegos de Irlanda (NCBI).
La información, que parece ser un consejo estándar sobre las mejores prácticas de autoaislamiento, está contenida en un documento de Word adjunto que contiene macros que, cuando la víctima las habilita, permiten que el documento suelte un archivo .bat que a su vez recupera el cuentagotas de Nerbian RAT.
Nerbian RAT en sí mismo es un troyano de acceso remoto algo complejo (por lo tanto, RAT) que admite una variedad de funciones maliciosas, como registro de teclas, captura de pantalla y comunicaciones a través de SSL con su infraestructura C2. También contiene una serie de comprobaciones para evitar que las víctimas lo depuren o realicen ingeniería inversa.
Sin embargo, es quizás más notable por estar escrito en el lenguaje de programación Go y utiliza múltiples bibliotecas Go de código abierto para llevar a cabo sus actividades maliciosas. Como señaló Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint: “Los autores de malware continúan operando en la intersección de la capacidad de código abierto y la oportunidad criminal”.
Go, o Golang, es cada vez más el favorito de los actores de amenazas, probablemente porque es más fácil de usar que otros idiomas y la barrera de entrada es más baja.
También ha madurado hasta el punto en que se está convirtiendo en un lenguaje de referencia para los desarrolladores de malware, tanto a nivel de amenazas persistentes avanzadas (APT) como de productos básicos. Los programas maliciosos basados en Go ahora aparecen de forma regular y se dirigen a la mayoría de los principales sistemas operativos. En los últimos 12 meses, Go se ha utilizado cada vez más para compilar escenarios iniciales para Cobalt Strike.
Un malware codificado con Go identificado recientemente es Denonia, un criptominero de aspecto relativamente inocuo que es digno de mención porque parece haber sido diseñado específicamente para apuntar a los entornos Lambda de Amazon Web Services (AWS) y, como tal, puede ser el primero en el mundo, aunque tenga en cuenta que AWS rechaza su caracterización como malware.
La investigación de 2021 realizada por analistas de BlackBerry seleccionó cuatro idiomas poco comunes que sus herramientas de detección habían observado que se usaban de manera maliciosa (Go, D, Nim y Rust) y encontraron un consenso general de que los actores maliciosos también favorecen estos idiomas porque todavía son relativamente poco comunes, por lo tanto, creen esto puede ayudar a que sus ataques evadan la detección y dificulten el análisis.
Otros puntos positivos incluyen la capacidad de compilar de forma cruzada nuevos malwares que pueden apuntar a entornos Windows y MacOS al mismo tiempo.
Más información sobre Nerbian RAT, incluidos los indicadores de compromiso (IoC) y las reglas de Yara para los defensores, está disponible en Proofpoint.