Nerbian RAT

Sebuah trojan akses jarak jauh baru yang disebut Nerbian RAT telah ditemukan yang mencakup serangkaian fitur yang kaya, termasuk kemampuan untuk menghindari deteksi dan analisis oleh para peneliti.

Varian malware baru ditulis dalam Go, menjadikannya ancaman 64-bit lintas platform, dan saat ini didistribusikan melalui kampanye distribusi email skala kecil yang menggunakan lampiran dokumen yang dicampur dengan makro.

Kampanye malware yang mendistribusikan Nerbian RAT meniru Organisasi Kesehatan Dunia (WHO), yang diduga mengirimkan informasi COVID-19 ke target.

Lampiran RAR berisi dokumen Word yang dicampur dengan kode makro berbahaya, jadi jika dibuka di Microsoft Office dengan konten yang disetel ke “diaktifkan”, file bat melakukan langkah eksekusi PowerShell untuk mengunduh penetes 64-bit.

Dropper, bernama “UpdateUAV.exe,” juga ditulis dalam bahasa Golang dan dikemas dalam UPX agar ukurannya tetap dapat diatur.

UpdateUAV menggunakan kembali kode dari berbagai proyek GitHub untuk menggabungkan serangkaian mekanisme anti-analisis dan penghindaran deteksi yang kaya sebelum Nerbian RAT disebarkan.

Selain itu, penetes juga menetapkan ketekunan dengan membuat tugas terjadwal yang meluncurkan RAT itu setiap jam.

Proofpoint merangkum daftar alat anti-analisis sebagai berikut:

Periksa keberadaan program rekayasa balik atau debugging dalam daftar proses
Periksa alamat MAC yang mencurigakan
Periksa string WMI untuk melihat apakah nama disk sah
Periksa apakah ukuran hard disk di bawah 100GB, yang merupakan tipikal untuk mesin virtual
Periksa apakah ada analisis memori atau program deteksi gangguan yang ada dalam daftar proses
Periksa jumlah waktu yang telah berlalu sejak eksekusi dan bandingkan dengan ambang batas yang ditetapkan
Gunakan IsDebuggerPresent API untuk menentukan apakah executable sedang di-debug

Semua pemeriksaan ini secara praktis membuat RAT tidak mungkin berjalan di lingkungan tervirtualisasi kotak pasir, memastikan siluman jangka panjang untuk operator malware.

Trojan diunduh sebagai “MoUsoCore.exe” dan disimpan ke “C:\ProgramData\USOShared\”. Ini mendukung beberapa fungsi, sementara operatornya memiliki opsi untuk mengonfigurasinya dengan beberapa di antaranya.

Dua dari fungsi utamanya adalah keylogger yang menyimpan penekanan tombol dalam bentuk terenkripsi dan alat penangkap layar yang berfungsi di semua platform OS.

Komunikasi dengan server C2 ditangani melalui SSL (Secure Sockets Layer), sehingga semua pertukaran data dienkripsi dan dilindungi dari pemeriksaan dalam perjalanan dari alat pemindaian jaringan.

Tanpa ragu, Proofpoint telah menemukan malware baru yang menarik dan kompleks yang berfokus pada siluman melalui berbagai pemeriksaan, komunikasi terenkripsi, dan pengaburan kode.

Untuk saat ini, Nerbian RAT didistribusikan melalui kampanye email bervolume rendah, jadi ini belum menjadi ancaman besar, tetapi ini bisa berubah jika pembuatnya memutuskan untuk membuka bisnis mereka ke komunitas kejahatan dunia maya yang lebih luas.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Nerbian RAT

Cookies Settings