Ecco Nerbian, il RAT che sfrutta Covid-19 e OMS ed elude la detection

redazione

Proofpoint ha identificato una nuova variante di malware che si avvale di significative capacità anti-analisi e anti-reversione. Il malware, scritto nel linguaggio di programmazione Go, utilizza più librerie open-source Go per condurre attività dannose. Denominato Nerbian remote access trojan (RAT), questo malware sfrutta temi legati al Covid-19 e all’Organizzazione Mondiale della Sanità per diffondersi.

“La disponibilità di funzionalità open source e le opportunità di massimizzare il loro ritorno criminale guidano come sempre le azioni degli autori di malware”, spiega Sherrod DeGrippo, Vice President, Threat Research and Detection di Proofpoint

I ricercatori di Proofpoint hanno denominato il malware sulla base di una funzione che viene nominata nel codice del malware. Nerbia è un luogo immaginario del romanzo Don Chisciotte.

Il RAT Nerbian appena identificato sfrutta più componenti anti-analisi in diverse fasi, comprese diverse librerie open source. È scritto in un linguaggio di programmazione Go agnostico al sistema operativo (OS), compilato per sistemi a 64 bit, e sfrutta diverse routine di crittografia per eludere l’analisi della rete. Il linguaggio Go è sempre più diffuso tra gli attori delle minacce, probabilmente a causa della sua facilità d’uso.

Dettagli della campagna

A partire dal 26 aprile 2022, i ricercatori di Proofpoint hanno osservato una campagna malware a basso volume (meno di 100 messaggi) inviata via e-mail a più settori. La minaccia ha un impatto particolarmente sbilanciato verso entità in Italia, Spagna e Regno Unito. Le e-mail affermano di rappresentare l’Organizzazione Mondiale della Sanità (OMS) con importanti informazioni riguardanti COVID-19. I ricercatori di Proofpoint hanno osservato i seguenti indicatori e allegati:

Da: who.inter.svc@gmail[.]com, announce@who-international[.]com

Soggetti: OMS, Organizzazione Mondiale della Sanità

Nomi e tipologie di allegati: who_covid19.rar con who_covid19.doc dentro, covid19guide.rar con covid19guide.doc dentro, covid-19.doc

I messaggi che pretendono di provenire dall’OMS e dovrebbero includere misure di sicurezza relative a COVID-19 contengono un documento Word con macro.


Proofpoint ha identificato un nuovo malware basato su librerie open source e dotato di tecniche avanzate di evasione. L’Italia è in prima fila tra i paesi presi di mira.