Así opera Nerbian, nuevo troyano que se está distribuyendo en España

El equipo de Proofpoint detecta Nerbian, un nuevo troyano que se está distribuyendo en España, según el especialista.

Este RAT (troyano de acceso remoto) está escrito en Go, un lenguaje de programación agnóstico del sistema operativo, y utiliza múltiples componentes de antianálisis, repartidos en varias etapas y que incluyen varias bibliotecas de código abierto, así como varias rutinas de cifrado para evadir aún más el análisis de red.

El pasado 26 de abril, los investigadores de Proofpoint comenzaron a detectar muestras del nuevo malware en una campaña de correo electrónico de bajo volumen. Los emails, especialmente dirigidos a entidades de España, Italia y Reino Unido, decían representar a la Organización Mundial de la Salud (OMS) y adjuntaban un documento Word con macros en el que la víctima podría encontrar información importante sobre COVID-19. Al activarlo, se ejecutaba la carga útil, que realiza una gran variedad de comprobaciones del entorno y de encriptación de datos.

Un nombre peculiar
Los investigadores de Proofpoint se decidieron a nombrarlo como “Nerbian RAT” basándose en uno de los nombres de las funciones del malware, en la que se utiliza la palabra “Nerbian”. Al principio fue difícil encontrar referencias a ese término en Internet, hasta que los analistas de Proofpoint dieron con un pasaje del Quijote en el que se hace referencia al “poderoso Duque de Nerbia”, noble de un lugar ficticio en la novela que lleva un escudo con el lema “Rastrea mi suerte”.

Muchas de las cadenas que hacen referencia a Nerbia se encontraban en el ejecutable que acompaña al malware, y Proofpoint considera con alta confianza que el ejecutable y el RAT fueron creados por la misma entidad. Según la firma, aunque el ejecutable puede modificarse para entregar diferentes cargas útiles en el futuro, está configurado estáticamente para descargar y establecer la persistencia de esta carga útil específica en el momento del análisis.