已经发现了一种名为 Nerbian RAT 的新型远程访问木马，它包含一组丰富的功能，包括逃避研究人员检测和分析的能力。

新的恶意软件变种是用 Go 编写的，使其成为跨平台的 64 位威胁，目前通过使用带有宏的文档附件的小规模电子邮件分发活动进行分发。

这些电子邮件活动是由 Proofpoint的研究人员发现的，他们今天发布了一份关于新的 Nerbian RAT 恶意软件的报告。
冒充世界卫生组织
分发 Nerbian RAT 的恶意软件活动冒充世界卫生组织 (WHO)，据称该组织正在向目标发送 COVID-19 信息。

在最新活动中看到的网络钓鱼电子邮件 (Proofpoint)
RAR 附件包含带有恶意宏代码的 Word 文档，因此如果在 Microsoft Office 上打开内容设置为“已启用”的 bat 文件，则会执行 PowerShell 执行步骤以下载 64 位 dropper。

名为“UpdateUAV.exe”的 dropper 也是用 Golang 编写的，并打包在 UPX 中以保持大小可管理。

在部署 Nerbian RAT 之前，UpdateUAV 重用来自各种 GitHub 项目的代码，以整合一组丰富的反分析和检测规避机制。

除此之外，dropper 还通过创建一个每小时启动该 RAT 的计划任务来建立持久性。

Proofpoint 将反分析工具列表总结如下：

检查进程列表中是否存在逆向工程或调试程序
检查可疑的 MAC 地址
检查 WMI 字符串以查看磁盘名称是否合法
检查硬盘大小是否低于 100GB，这是虚拟机的典型情况
检查进程列表中是否存在内存分析或篡改检测程序
检查自执行以来经过的时间量并将其与设置的阈值进行比较
使用 IsDebuggerPresent API 确定是否正在调试可执行文件
所有这些检查使得 RAT 几乎不可能在沙盒虚拟化环境中运行，从而确保恶意软件操作员的长期隐秘性。

Nerbian RAT 功能
该木马下载为“MoUsoCore.exe”并保存到“C:\ProgramData\USOShared\”。它支持多种功能，而其操作员可以选择使用其中一些功能对其进行配置。

它的两个显着功能是以加密形式存储击键的键盘记录器和适用于所有操作系统平台的屏幕捕获工具。
与 C2 服务器的通信是通过 SSL（安全套接字层）处理的，因此所有数据交换都经过加密，并防止网络扫描工具在传输过程中进行检查。

完整的感染过程 （Proofpoint）
密切关注
毫无疑问，Proofpoint 发现了一个有趣、复杂的新恶意软件，它通过大量检查、加密通信和代码混淆来关注隐秘性。

不过，就目前而言，Nerbian RAT 是通过少量电子邮件活动分发的，因此它还不是一个巨大的威胁，但如果它的作者决定向更广泛的网络犯罪社区开放他们的业务，这种情况可能会改变。