Nerbian, il virus che sfrutta il Covid-19 e OMS per spiare gli utenti

I ricercatori di Proofpoint hanno scoperto l’esistenza di un nuovo malware in grado di fare screenshot del PC e registrare la sequenza di tasti

I malintenzionati le escogitano proprio tutte per avere accesso alle informazioni riservate e personali degli utenti e in quest’ottica abbiamo assistito nell’ultimo periodo ad un incremento degli attacchi phishing e dei pericoli informatici, parallelamente alla crescita della digitalizzazione e al sopravanzare di attività come lo smartworking.

Questi metodi si sono tradotti in nuovi virus che vengono inoltrati via mail agli utenti bersaglio, sfruttando tematiche di stretta attualità tra cui anche il Covid-19. L’ultimo di questi è stato scoperto dai ricercatori di Proofpoint e si tratta di un malware piuttosto particolare, in quanto in grado di bypassare l’analisi della rete.

Il virus prende il nome di “Nerbian RAT” e sfrutta le sue capacità crittografiche squarciare la sicurezza degli utenti. Tra i suoi “superpoteri”, se così si può dire, si può citare l’acquisizione dello schermo e funzionalità di cosiddetto “keylogger”, che permette al virus di catturare la sequenza dei tasti in forma crittografata e utilizzare pertanto tali combinazioni per l’accesso ai profili delle vittime, grazie al combinato disposto con la parte audio.

Secondo quanto riportato dai ricercatori di Proofpoint, Nerbian ha iniziato a circolare soprattutto in Italia, Spagna e Regno Unito, i tre paesi maggiormente impattati dal nuovo malware, le cui scoperte risalgono allo scorso 26 aprile. Si tratta quindi di un virus tutto sommato recente, scritto ad-hoc dagli hacker tramite il linguaggio di programmazione indipendente Go.

Cos’è Nerbian e come difendersi dagli attacchi phishing

Ma come funziona Nerbian? Abbiamo detto che il vettore di diffusione è l’indirizzo email: la vittima riceve infatti una comunicazione sospetta legata a tematiche di attualità come il Covid-19 e l’OMS. Tali messaggi recano al loro interno un finto documento Word che di fatto si fa portatore del virus, in quanto abilita una catena di macro che porta come risultato finale all’installazione del malware nel PC della vittima.

Ci troviamo di fronte a una minaccia che, seppur nuova, non è del tutto originale, in quanto replica le medesime strategie di attacco già viste in piena pandemia. Pertanto, valgono gli stessi suggerimenti già utilizzati in passato, oltre che gli stessi consigli su come difendersi dagli attacchi phishing. In particolare, evitate di cliccare su link in presenza di comunicazioni sospette e valutate sempre l’autenticità del mittente: nel dubbio, effettuate una ricerca su Internet.

Trattandosi di un malware che serpeggia soprattutto sui PC, suggeriamo inoltre di tenere l’antivirus sempre aggiornato e, nel caso di specie, di disabilitare l’apertura automatica delle macro dei documenti Word, perché di fatto è proprio questo l’ultimo passaggio che permette al virus di “saltare” direttamente dentro al computer dell’utente bersaglio.