Bleeping Computer 網站披露，網絡安全研究人員發現一個名為 Nerbian RAT 的新型惡意軟件，它具有逃避研究人員檢測和分析的能力。

Proofpoint 的安全研究人員首先發現該新型惡意軟件，并發布了一份關于新型 Nerbian RAT 惡意軟件的報告。

據悉，新型惡意軟件變體采用 Go 語言編寫，使其成為跨平臺的64位威脅。目前，該惡意軟件通過使用宏文檔附件的小規模電子郵件分發活動進行傳播。

冒充世界衛生組織

惡意軟件背后的操縱者冒充世界衛生組織(WHO)，分發 Nerbian RAT 惡意軟件，據稱該組織正在向目標發送COVID-19信息。

最新活動中看到的釣魚郵件(Proofpoint)

RAR 附件中包含帶有惡意宏代碼的 Word 文檔，如果在 Microsoft Office 上打開，并將內容設置為 "啟用"的話，一個 bat 文件會執行 PowerShell 步驟，下載一個 64 位的 dropper。

這個名為 UpdateUAV.exe 的 dropper 也采用 Golang 編寫，為了保證其大小可控，被打包在 UPX 中。

在部署 Nerbian RAT 之前，UpdateUAV 重用來自各種 GitHub 項目的代碼，以整合一組豐富的反分析和檢測規避機制。除此以外，該投放器還通過創建一個預定任務，每小時啟動該 RAT 來建立持久性。

Proofpoint 將反分析工具列表總結如下。

• 檢查進程列表中是否存在反向工程或調試程序
• 檢查可疑的 MAC 地址
• 檢查 WMI 字符串，看磁盤名稱是否合法
• 檢查硬盤大小是否低于 100GB，這是虛擬機的典型特征
• 檢查進程列表中是否存在任何內存分析或篡改檢測程序
• 檢查執行后的時間量，并與設定的閾值進行比較
• 使用 IsDebuggerPresent API 來確定可執行文件是否正在被調試。

所有上述這些檢查使 RAT 實際上不可能在沙盒、虛擬化環境中運行，從而確保惡意軟件運營商的長期隱蔽性。

Nerbian RAT 的功能特點

Nerbian RAT 惡意軟件以 "MoUsoCore.exe "形式下載，之后保存到 "C:\ProgramData\USOShared\"中，支持多種功能，背后操作者可以任意選擇配置其中的一些功能。

值得注意的是，它具有兩個顯著功能，一個是以加密形式存儲擊鍵的鍵盤記錄器，另外一個是適用于所有操作系統平臺的屏幕捕獲工具。

另外，它與 C2 服務器的通信是通過 SSL(安全套接字層)處理的，因此所有的數據交換都是加密的，并受到保護，有效防止了網絡掃描工具在傳輸過程中進行檢查。

完整的感染過程 (Proofpoint)

應當密切關注

毫無疑問，Proofpoint 發現的 Nerbian RAT ，是一個有趣的、復雜的新型惡意軟件，它通過大量的檢查、通信加密和代碼混淆，專注于隱蔽性。

不過，就目前而言，Nerbian RAT 惡意軟件還是通過低容量的電子郵件活動進行分發，所以還構不成大規模威脅，但如果其背后操作者決定向更廣泛的網絡犯罪社區傳播，情況可能會變得很糟糕。

參考文章：https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-malware-spotted-in-ongoing-attacks/