Proofpoint detecta Nerbian, un nuevo troyano que se está distribuyendo en España con una historia muy quijotesca

Nerbian es el nombre de un nuevo troyano que utiliza un tema relacionado con medidas sanitarias contra el Covid-19 para infectar los equipos. Los investigadores de Proofpoing lo han estado estudiando publicando un análisis de su funcionamiento. Como curiosidad, decir que Nerbia, de donde procede su nombre, es un lugar ficticio del Quijote.

El recientemente identificado RAT Nerbian aprovecha múltiples componentes de antianálisis, repartidos en varias etapas y que incluyen varias bibliotecas de código abierto, así como varias rutinas de cifrado para evadir aún más el análisis de red. “Los cibercriminales siguen operando en el punto de cruce entre las capacidades del código abierto y la oportunidad criminal”, comenta Sherrod DeGrippo, vicepresidenta de Invvestigación y Detección de Amenazas de Proofpoint. El nuevo malware está escrito en Go, un lenguaje de programación agnóstico al sistema operativo (SO) que es cada vez más popular entre los ciberdelincuentes, probablemente debido a su menor barrera de entrada y facilidad de uso.

El pasado 26 de abril, los investigadores de Proofpoint comenzaron a detectar muestras del nuevo malware en una campaña de correo electrónico de bajo volumen. La amenaza, eso sí, estaba especialmente dirigida a entidades de España, Italia y Reino Unido. Los correos electrónicos decían representar a la Organización Mundial de la Salud (OMS) y adjuntaban un documento Word con macros en el que la víctima podría encontrar información importante sobre COVID-19. Al activarlo, se ejecutaba la carga útil, que realiza una gran variedad de comprobaciones del entorno y de encriptación de datos.

¿Por qué Nerbian?

Los investigadores de Proofpoint se decidieron a nombrarlo como “Nerbian RAT” basándose en uno de los nombres de las funciones del malware, en la que se utiliza la palabra “Nerbian”. Al principio fue difícil encontrar referencias a ese término en Internet, hasta que los analistas de Proofpoint dieron con un pasaje del Quijote en el que se hace referencia al “poderoso Duque de Nerbia”, noble de un lugar ficticio en la novela que lleva un escudo con el lema “Rastrea mi suerte”.

Muchas de las cadenas que hacen referencia a Nerbia se encontraban en el ejecutable que acompaña al malware, y Proofpoint evalúa con alta confianza que el ejecutable y el RAT fueron creados por la misma entidad, y aunque el ejecutable puede modificarse para entregar diferentes cargas útiles en el futuro, está configurado estáticamente para descargar y establecer la persistencia de esta carga útil específica en el momento del análisis.

Ir arriba