Noticias

Nerbian: un nuevo RAT que golpea en nuestro país

Publicado

en

Si le preguntas a un profesional de la tecnología qué es un RAT, muy probablemente su respuesta dependerá de su ámbito de especialización. Durante bastantes años, estas siglas hacían referencia a herramientas de administración remota (Remote Administration Tool), es decir, aplicaciones que nos proporcionan un acceso remoto a sistemas, un acceso que se puede emplear para revisar, actualizar, reparar, etcétera. Permite que las personas que pueden administrar los sistemas en los que se emplean puedan realizar todas esas labores de manera remota.

Ahora bien, de un tiempo a esta parte si preguntamos a profesionales del área de la seguridad, cada vez más de ellos lo entenderán como una referencia a los troyanos de acceso remoto (Remote Access Trojan), un tipo de malware con un comportamiento que puede llegar a ser bastante parecido al de las herramientas de administración remota legítimas, pero que como ya puedes imaginar es empleado con intenciones mucho menos saludables.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

No es casual que ambas categorías de software compartan acrónimo, pero sí que es importante aclarar que no son exactamente lo mismo. Las herramientas de acceso remoto son, en origen, legítimas, y entre otras cosas, no suelen ocultar su funcionamiento, algo que sí que hacen los troyanos con los que comparten parte de su funcionalidad. Una herramienta de administración remota también puede llegar a ser empleada con aviesas intenciones, pero no han sido diseñadas para tal fin y, por lo tanto, no lo facilitan tanto como un troyano de acceso remoto.

Es importante hacer esta aclaración porque, al hablar de Nerbian, me refiero a un Remote Access Trojan, no a una herramienta legítima explotada con malas intenciones. Y según podemos leer en Hackread, en esta ocasión hablamos de un malware programado en Go, un lenguaje que está ganando mucha tracción también en el mundo de la ciberdelincuencia, y que está siendo empleado en campañas que apuntan a España, Italia y Reino Unido.

Si eres un amante de la literatura clásica es probable que el nombre de este RAT te haya llamado la atención, sobre todo si eres buen conocedor de la obra más importante de la literatura española. Y es que los investigadores le han otorgado este nombre debido a que, al analizar su código, han encontrado algunas referencias al Quijote. Algo que, sumado a que España es uno de sus principales campos de batalla, nos invita a pensar que el malware puede tener su origen en nuestro país.

Nerbian es capaz de capturas pulsaciones de teclado, ejecutar todo tipo de comandos, realizar capturas de pantalla y exfiltrar toda la información capturada a un servidor de comando y control operado por sus responsables. A este respecto, es decir, sobre su autoría, de momento se desconoce quién está detrás de este RAT, por lo que solo se pueden hacer algunas suposiciones, como la que he planteado antes sobre el posible origen español de sus autores.

En cuanto a su distribución, se ha identificado una campaña de phishing, con correos que simulan ser de la Organización Mundial de la Salud y que supuestamente ofrecen información sobre el coronavirus, un tema que a día de hoy sigue siendo muy explotado por los ciberdelincuentes en campañas de phishing y spearphishing. Dicho email lleva adjunto un documento de Word (con macros, por supuesto) con consejos de la organización a los ciudadanos para prevenir el contagio.

A diferencia de otros casos, en esta ocasión el documento sí que ofrece la información prometida, pero mientras se muestra la información, el malware actúa en segundo plano. De su mano se descarga la primera carga útil, un ejecutable de 64 bits denominado UpdateUAV.exe, escrito en Golang, de 3,5 megabytes de tamaño y empaquetado en UPX, que a partir de su descarga e instalación será el responsable de proporcionar acceso a los atacantes, así como de administrar sus actividades y su propia presencia en el sistema comprometido.

Click para comentar

Lo más leído

Salir de la versión móvil