NetDooka RAT

Sikkerhedsforskere opdagede for nylig en ny multi-komponent malware, der har fået tilnavnet NetDooka efter en af dens komponenter.

NetDooka beskrives som et ondsindet "rammeværk" på grund af dets mange bevægelige dele og moduler, men i sin kerne ligger en fjernadgangstrojan (RAT). Malwaren distribueres ved hjælp af en betal-per-installationstjeneste. Oven i RAT'en i kernen af NetDooka, indeholder rammen også en initial loader, et dropper-modul og en beskyttelsesdriver.

PrivateLoader, et separat stykke malware, bruges til distribution af NetDooka. PrivateLoader er en slags ondsindet schweizisk hærknivsværktøj, der bruges til at downloade ikke kun NetDooka, men alle andre ondsindede betalte applikationer og moduler, der betjenes gennem den samme centrale infrastruktur og service, der betaler pr.

I den første fase af infektionen bruger NetDooka en loader, som opretter en ny virtuel desktop-instans, der bruger den til at starte et afinstallationsprogram, der tager sig af antivirussoftware. På dette stadium emulerer malwaren musen for at interagere med afinstallationsprogrammets prompter.

NetDooka RAT har et indbygget modul, der kontrollerer, om det kører i et virtuelt sandbox-miljø, for at forbedre dets chancer for at undgå analyser fra sikkerhedsforskere. En anden-trins-loader downloades, som dekrypterer og til sidst starter den endelige RAT-nyttelast. Dette sidste trins nyttelast omfatter en fjernadgangstrojaner, der har en række funktioner, herunder browserdataeksfiltrering, indsamling af systemoplysninger og udførelse af fjern-shell-kommandoer.

NetDooka inkluderer en kernedriver, der er beregnet til at beskytte den ultimative nyttelast af RAT.

Forskere mener, at malwaren stadig er i aktiv udvikling, og flere lidt forskellige versioner af NetDooka-filer, der blev downloadet i det indledende PrivateLoader-trin, er blevet observeret.