Si chiama Nerbian il nuovo malware che sfrutta temi legati alla Covid-19 e all’OMS (l’Organizzazione Mondiale della Sanità) per propagarsi attraverso campagne malspam, utilizzando librerie open source e avanzate tecniche di evasione per eludere i sistemi di controllo e detection.
Nerbian è dotato di funzionalità di keylogger per registrare tutto ciò che la vittima digita sulla tastiera del computer ed è in grado anche di effettuare screenshot dello schermo.
“Il RAT (Remote Access Trojan) Nerbian è l’ennesima riprova delle capacità del crimine informatico”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
Nerbian: il RAT basato su librerie open source
I ricercatori di Proofpoint hanno rinominato il malware in base a una funzione presente nel codice del malware: Nerbia è un luogo immaginario del romanzo Don Chisciotte.
“Si tratta di un malware che si distingue per le tecniche di evasione che implementa”, continua Paganini. Il malware, infatti, è scritto nel linguaggio di programmazione Go, agnostico al sistema operativo (OS) e compilato per sistemi a 64 bit, e sfrutta varie routine crittografiche per eludere l’analisi della rete.
Secondo Paganini, “tale scelta è motivata dalla volontà degli autori di creare un codice malevolo in grado di attaccare dispositivi che utilizzano sistemi operativi differenti”.
Infatti, “la disponibilità di funzionalità open source e le opportunità di massimizzare il loro ritorno criminale guidano come sempre le azioni degli autori di malware”, spiega Sherrod DeGrippo, vice presidente del Threat Research and Detection di Proofpoint.
La scoperta del malware Nerbian conferma che il linguaggio Go è sempre più popolare tra gli attori delle minacce, probabilmente a causa della sua semplicità d’uso.
L’Italia è nel mirino del malware
Le prime tracce del malware Nerbian risalgono allo scorso 26 aprile 2022, quando i ricercatori di Proofpoint hanno identificato una campagna di diffusione a basso volume (meno di 100 messaggi) inviata via e-mail a più settori e particolarmente orientata verso Italia, Spagna e Regno Unito.
I messaggi malevoli sembrano provenire dall’OMS e usano come esca delle presunte misure di sicurezza relative alla Covid-19. In allegato è presente un documento Word con macro che, se aperto, attiva la catena infettiva del malware. Come misura di mitigazione del rischio, quindi, è importante disabilitare l’esecuzione delle macro presenti nei documenti Office. Utile ricordare, a tal proposito, che Microsoft ha disabilitato per default le macro Excel XML 4.0 proprio per ragioni di sicurezza.
“La campagna analizzata da Proofpoint, iniziata di recente e caratterizzata da volumi ridotti di email malevole”, sottolinea Paganini, lascia supporre che “probabimentee ci troviamo dinanzi a una sorta di campagna di test utilizzata per tuning della minaccia e in preparazione ad attacchi di più ampia portata. Per questa ragione occorre monitorare attentamente le future evoluzioni della minaccia”.
