La quijotesca historia del nuevo troyano Nerbian

La quijotesca historia del nuevo troyano Nerbian

Siendo quijotesca esa historia, alguien podría pensar que al troyano se le debería haber llamado Rocinante, pero lo de Nerbian tiene una explicación poco conocida que también está en el libro de Cervantes.

El equipo de investigación de amenazas de Proofpoint , han publicado un análisis sobre Nerbian, un nuevo troyano de acceso remoto que utiliza como tema una supuesta información sobre medidas sanitarias contra el COVID-19 de la Organización Mundial de la Salud, OMS.

Los investigadores han apodado Nerbian al nuevo malware por una función mencionada en su código fuente. Más tarde, descubrieron que Nerbia es un lugar ficticio del Quijote.

El recientemente identificado RAT Nerbian aprovecha múltiples componentes de antianálisis, repartidos en varias etapas y que incluyen varias bibliotecas de código abierto, así como varias rutinas de cifrado para evadir aún más el análisis de red. “Los cibercriminales siguen operando en el punto de cruce entre las capacidades del código abierto y la oportunidad criminal”, comenta Sherrod DeGrippo, vicepresidenta de Invvestigación y Detección de Amenazas de Proofpoint. El nuevo malware está escrito en Go, un lenguaje de programación agnóstico al sistema operativo (SO) que es cada vez más popular entre los ciberdelincuentes, probablemente debido a su menor barrera de entrada y facilidad de uso.

El pasado 26 de abril, los investigadores de Proofpoint comenzaron a detectar muestras del nuevo malware en una campaña de correo electrónico de bajo volumen. La amenaza, eso sí, estaba especialmente dirigida a entidades de España, Italia y Reino Unido. Los correos electrónicos decían representar a la Organización Mundial de la Salud (OMS) y adjuntaban un documento Word con macros en el que la víctima podría encontrar información importante sobre COVID-19. Al activarlo, se ejecutaba la carga útil, que realiza una gran variedad de comprobaciones del entorno y de encriptación de datos.

¿Por qué Nerbian?

Los investigadores de Proofpoint se decidieron a nombrarlo como “Nerbian RAT” basándose en uno de los nombres de las funciones del malware, en la que se utiliza la palabra “Nerbian”. Al principio fue difícil encontrar referencias a ese término en Internet, hasta que los analistas de Proofpoint dieron con un pasaje del Quijote en el que se hace referencia al “poderoso Duque de Nerbia”, noble de un lugar ficticio en la novela que lleva un escudo con el lema “Rastrea mi suerte”.

Muchas de las cadenas que hacen referencia a Nerbia se encontraban en el ejecutable que acompaña al malware, y Proofpoint evalúa con alta confianza que el ejecutable y el RAT fueron creados por la misma entidad, y aunque el ejecutable puede modificarse para entregar diferentes cargas útiles en el futuro, está configurado estáticamente para descargar y establecer la persistencia de esta carga útil específica en el momento del análisis.