NetDooka RAT
Ερευνητές ασφαλείας ανακάλυψαν πρόσφατα ένα νέο κακόβουλο λογισμικό πολλαπλών συστατικών που έχει το παρατσούκλι NetDooka, από ένα από τα συστατικά του.
Το NetDooka περιγράφεται ως ένα κακόβουλο "πλαίσιο" λόγω των πολλαπλών κινούμενων μερών και μονάδων του, αλλά στον πυρήνα του βρίσκεται ένας trojan απομακρυσμένης πρόσβασης (RAT). Το κακόβουλο λογισμικό διανέμεται χρησιμοποιώντας μια υπηρεσία πληρωμής ανά εγκατάσταση. Πάνω από το RAT στον πυρήνα του NetDooka, το πλαίσιο περιέχει επίσης έναν αρχικό φορτωτή, μια μονάδα σταγονόμετρου και ένα πρόγραμμα οδήγησης προστασίας.
Το PrivateLoader, ένα ξεχωριστό κομμάτι κακόβουλου λογισμικού, χρησιμοποιείται για τη διανομή του NetDooka. Το PrivateLoader είναι ένα είδος κακόβουλου εργαλείου ελβετικού μαχαιριού, που χρησιμοποιείται για τη λήψη όχι μόνο του NetDooka αλλά όλων των άλλων κακόβουλων πληρωμένων εφαρμογών και λειτουργικών μονάδων που εξυπηρετούνται μέσω της ίδιας κεντρικής υποδομής και υπηρεσίας πληρωμής ανά εγκατάσταση.
Στο πρώτο στάδιο μόλυνσης, το NetDooka χρησιμοποιεί ένα πρόγραμμα φόρτωσης, το οποίο δημιουργεί μια νέα παρουσία εικονικής επιφάνειας εργασίας, χρησιμοποιώντας το για να ξεκινήσει ένα πρόγραμμα απεγκατάστασης που φροντίζει το λογισμικό προστασίας από ιούς. Σε αυτό το στάδιο, το κακόβουλο λογισμικό μιμείται το ποντίκι για να αλληλεπιδράσει με τις προτροπές του προγράμματος απεγκατάστασης.
Το NetDooka RAT διαθέτει μια ενσωματωμένη μονάδα που ελέγχει εάν εκτελείται σε εικονικό περιβάλλον sandbox, για να βελτιώσει τις πιθανότητές του να αποφύγει την ανάλυση από ερευνητές ασφαλείας. Γίνεται λήψη ενός φορτωτή δεύτερου σταδίου, ο οποίος αποκρυπτογραφεί και τελικά εκκινεί το τελικό ωφέλιμο φορτίο RAT. Αυτό το ωφέλιμο φορτίο τελικού σταδίου περιλαμβάνει ένα trojan απομακρυσμένης πρόσβασης που έχει μια σειρά από χαρακτηριστικά, όπως η εξαγωγή δεδομένων του προγράμματος περιήγησης, η συλλογή πληροφοριών συστήματος και η εκτέλεση εντολών απομακρυσμένου κελύφους.
Το NetDooka περιλαμβάνει ένα πρόγραμμα οδήγησης πυρήνα που προορίζεται να προστατεύσει το απόλυτο ωφέλιμο φορτίο του RAT.
Οι ερευνητές πιστεύουν ότι το κακόβουλο λογισμικό βρίσκεται ακόμη σε ενεργό ανάπτυξη και έχουν παρατηρηθεί αρκετές ελαφρώς διαφορετικές εκδόσεις των αρχείων NetDooka που λήφθηκαν στο αρχικό βήμα PrivateLoader.
