研究人员警告 Nerbian RAT 针对意大利、西班牙和英国的实体

在意大利、西班牙和英国，发现了一个以前未记录的用Go编程语言编写的远程访问特洛伊木马（RAT），其目标不成比例地指向实体。

调用大鼠神经企业安全公司Proofpoint表示，这种新型恶意软件利用2019冠状病毒疾病为主题的诱饵进行传播，作为2022年4月26日开始的低流量电子邮件传播的网络钓鱼活动的一部分。

Proofpoint研究人员在与《黑客新闻》共享的一份报告中表示：“新发现的Nerbian鼠利用了分布在多个阶段的多个反分析组件，包括多个开源库”，

“它是用与操作系统（OS）无关的Go编程语言编写的，为64位系统编译，并利用多个加密例程进一步规避网络分析。”

这些信息数量不到100条，据称来自世界卫生组织关于2019冠状病毒疾病相关安全措施的信息，敦促潜在受害者打开一个带有宏的Microsoft Word文档以获取“最新健康建议”

启用宏将显示2019冠状病毒疾病指南，包括自我隔离的步骤，而在后台，嵌入的宏将触发感染链，该感染链将从远程服务器提供名为“UpdateUAV.exe”的负载，该负载充当Nerbian RAT（“MoUsoCore.exe”）的滴管。

dropper还利用开源的Chacal“anti-VM framework”使逆向工程变得困难，使用它执行反逆向检查，并在遇到任何调试器或内存分析程序时终止自身。

就远程访问特洛伊木马而言，它可以记录击键、捕获屏幕截图和执行任意命令，然后再将结果过滤回服务器。

虽然据说滴管和老鼠都是由同一位作者发明的，但威胁者的身份仍然未知。

此外，Proofpoint警告说，滴管可以定制为在未来的攻击中提供不同的有效载荷，尽管目前的形式，它只能取回Nerbian鼠。

Proofpoint威胁研究和检测副总裁Sherrod DeGrippo在一份声明中表示：“恶意软件作者继续在开源能力和犯罪机会的交叉点上运行。”