Il nuovo Trojan "Nerbian" utilizza trucchi anti-rilevamento avanzati

I ricercatori di Proofpoint hanno scoperto un nuovo trojan ad accesso remoto, chiamato Nerbian, che si diffonde tramite campagne e-mail che coinvolgono anche l’argomento del Covid-19. Questo nuovo malware include numerose funzionalità che gli permettono di eludere l’analisi o il rilevamento da parte dei comuni radar di rilevamento.

Scritta tramite il linguaggio di programmazione indipendente Go, questa variante, soprannominata Nerbian RAT, sfrutta significative capacità crittografiche per eludere l’analisi della rete. La propagazione avviene attraverso campagne di email spam che sfruttano temi legati al Covid-19 e all’OMS. L’Italia è tra i paesi più coinvolti, un motivo in più per dotarsi di una protezione efficace, come quella offerta da Norton 360 Premium, in sconto ancora per pochi giorni.

Come funziona Nerbian, il nuovo RAT che sfrutta il Covid-19

Le prime avvisaglie di Nerbian risalgono allo scorso 26 aprile, quando i ricercatori di Proofpoint hanno scoperto una campagna di posta elettronica a basso volume con un impatto che ha riguardato principalmente organizzazioni in Italia, Spagna e Regno Unito.

“Le e-mail affermavano di rappresentare l’Organizzazione Mondiale della Sanità (OMS) con informazioni importanti sul Covid-19“

Hanno spiegato i ricercatori, sottolineando di come si tratti di una campagna di phishing simile a quelle circolate nel 2020, in piena prima pandemia. I messaggi parlano di presunte nuove misure di sicurezza relative all’infezione, con allegati dannosi mascherati da documenti ufficiali.

L’apertura del finto documento Word abilita di fatto una catena di macro che porta infine all’installazione del malware nel proprio sistema. A quel punto il virus può agire in diversi modi, con funzionalità che includono il keylogging e l’acquisizione dello schermo. In particolare, il keylogger memorizza le sequenze dei tasti in forma crittografata, mentre lo strumento di cattura del display funziona in ogni parte del sistema operativo.

I ricercatori invitano ovviamente di diffidare dei contenuti di questa email che, se in un primo momento possono apparire lecite, ad un’occhiata più attenta rivelano il loro intento truffaldino. È bene in ogni caso disabilitare l’apertura automatica delle Macro dei documenti Word, ma anche tenere costantemente aggiornato il proprio antivirus, dandogli pieno potere nel caso dovesse avvertire di situazioni sospette.