Thought Leadership
IT-Sicherheitsexperten von Proofpoint haben eine neuartige Malware-Variante entdeckt, die sich gut vor gängigen Security-Anwendungen zu verbergen weiß. Die neue Schadsoftware hört auf den Namen Nerbian Remote Access Trojan (RAT), und die Cyberkriminellen hinter der Malware zielen via E-Mail auf den Menschen als Schwachstelle der Sicherheitsinfrastruktur von Unternehmen ab.
Um die technischen Sicherheitsmaßnahmen eines Unternehmens zu überwinden, verfügt der Nerbian RAT über erhebliche Anti-Analyse- und Anti-Reversing-Fähigkeiten. Sind die technischen Schutzmaßnahmen einmal überwunden, nutzt die entdeckte Kampagne COVID-19 als Thema, um die Adressaten zum Öffnen eines Dokuments und damit zur Ausführung der Malware zu bewegen.
In ihrer Kampagne verwenden die Cyberkriminellen E-Mails, die vermeintlich von der Weltgesundheitsorganisation (WHO) zu stammen scheinen und die angeblich wichtige Informationen zu COVID-19 enthalten. Als Anhang der E-Mails wird ein MS Word-Dokument mit Makros genutzt, das zuweilen als RAR-Archiv gepackt versendet wird. Werden diese Makros aktiviert, zeigt das Dokument Informationen zu COVID-19, insbesondere über die Selbstisolierung und die Pflege von Personen mit COVID-19. Interessanterweise ähnelt diese Art Köder den Methoden, die in den ersten Tagen der Pandemie im Jahr 2020 verwendet wurden. Das gilt insbesondere für die Fälschung der WHO als Absender zur Verbreitung von Informationen über das Virus.
Folgende Absender, Attachment-Typen und Betreffzeilen konnten die Proofpoint-Spezialisten bislang der neuartigen Malware-Kampagne zuordnen:
- Von: who.inter.svc@gmail[.]com, announce@who-international[.]com
- Betreff: WHO, Weltgesundheitsorganisation
- Namen und Typen der Anhänge: who_covid19.rar mit who_covid19.doc als Inhalt, covid19guide.rar mit covid19guide.doc als Inhalt, covid-19.doc
Der neu identifizierte Nerbian RAT nutzt mehrere Anti-Analyse-Komponenten, die über verschiedene Stufen verteilt sind, darunter mehrere Open-Source-Bibliotheken. Er ist in der betriebssystemunabhängigen Programmiersprache Go geschrieben, für 64-Bit-Systeme kompiliert und nutzt mehrere Verschlüsselungsroutinen, um die eigentliche Payload zu verschleiern und Sicherheitsmaßnahmen zu umgehen.
Für Sherrod DeGrippo, VP Threat Research and Detection bei Proofpoint, sind die Umgehungstechniken des Nerbian RATs ein Beleg für die seit längerem zu beobachtende Vorgehensweise vieler Angreifer: „Die Urheber von Malware investieren nach wie vor sehr viel kriminelle Energie, um die Möglichkeiten von Open-Source-Software für ihre Zwecke zu nutzen.”
Weitere Informationen zum Nerbian Rat sollten hier zu finden sein.
www.proofpoint.com
