Falso e-mail da OMS distribui cavalo de troia indetectável por antivírus

Um novo cavalo de troia de acesso remoto foi identificado pela firma de segurança Proofpoint. A ameaça, de nome Nerbian RAT, conta com várias funções, com destaque para a possibilidade de conseguir escapar de detecção por soluções de segurança. Sua distribuição é feita a partir de falsas comunicações da Organização Mundial de Saúde.

• Falha em sistema de firewall permite excluir arquivos e inutilizar servidores
• Montadoras alemãs são alvo de campanha de phishing por mais de um ano

Segundo o relatório da Proofpoint, a ameaça, desenvolvida na linguagem de programação Go, é distribuída a partir de uma campanha de e-mails que utiliza anexos maliciosos para infectar os alvos. Os e-mails tem como assunto supostas atualizações sobre o estado mundial da pandemia da covid-19, o que pode atrair cliques de desavisados.

Quando os documentos do Word modificados anexados são abertos pelo alvo, macros implantados pelos criminosos realizam o download do Nerbian RAT a partir de um dropper, tipo de arquivo malicioso utilizado para baixar ameaças em dispositivos sem deixar rastros muito aparentes. Neste caso em específico, há várias ferramentas para realizar esse trabalho de forma ainda mais eficiente.

Após o Nerbian RAT ser baixado para a máquina, ele executa várias checagens no sistema para identificar possíveis riscos que possam revelar a operação. Entre elas estão algumas dedicadas a complicar a execução do malware em um ambiente de teste, como máquinas virtuais, dificultando assim a análise da ameaça.

Caso o ambiente se mostre propício para sua operação após essas análises, o vírus começa a registrar o que a vítima digita no teclado de forma criptografada e pode se comunicar com um servidor de comando e controle para extrair secretamente essas informações.

Ameaça ainda não é algo distribuído em massa

Como até o momento o Nerbian RAT ainda não está sendo distribuído de forma massificada, os pesquisadores da Proofpoint afirmam que ele não é um perigo urgente para as empresas e usuários de computadores — mas considerando suas características, ele pode vir a se tornar uma questão crítica de segurança no futuro.

Para se defender da ameaça, a recomendação, pelo menos nesse momento inicial, são as mesmas para a maioria dos ataques de phishing e cavalos de troia veiculadas normalmente: cheque a veracidade dos links e anexos de um e-mail e, em caso de dúvidas, procure comunicados oficiais das empresas que supostamente assinam a mensagem.

Fonte: BleepingComputer