RAT NetDooka
Les chercheurs en sécurité ont récemment découvert un nouveau logiciel malveillant à plusieurs composants qui a été surnommé NetDooka, d'après l'un de ses composants.
NetDooka est décrit comme un "framework" malveillant en raison de ses multiples pièces et modules mobiles, mais en son cœur se trouve un cheval de Troie d'accès à distance (RAT). Le logiciel malveillant est distribué à l'aide d'un service de paiement par installation. En plus du RAT au cœur de NetDooka, le framework contient également un chargeur initial, un module dropper et un pilote de protection.
PrivateLoader, un logiciel malveillant distinct, est utilisé pour la distribution de NetDooka. PrivateLoader est une sorte d'outil malveillant de couteau suisse, utilisé pour télécharger non seulement NetDooka, mais toutes les autres applications et modules payants malveillants qui sont servis via la même infrastructure et le même service central de paiement par installation.
Dans la première étape de l'infection, NetDooka utilise un chargeur, qui crée une nouvelle instance de bureau virtuel, l'utilisant pour lancer un programme de désinstallation qui s'occupe du logiciel antivirus. À ce stade, le logiciel malveillant émule la souris pour interagir avec les invites du programme de désinstallation.
Le NetDooka RAT dispose d'un module intégré qui vérifie s'il s'exécute dans un environnement virtuel sandbox, afin d'améliorer ses chances d'éviter l'analyse par les chercheurs en sécurité. Un chargeur de deuxième étage est téléchargé, qui décrypte et lance enfin la charge utile RAT finale. Cette charge utile de dernière étape comprend un cheval de Troie d'accès à distance qui possède un certain nombre de fonctionnalités, notamment l'exfiltration des données du navigateur, la collecte d'informations système et l'exécution de commandes shell distantes.
NetDooka inclut un pilote de noyau destiné à protéger la charge utile ultime du RAT.
Les chercheurs pensent que le logiciel malveillant est toujours en développement actif et plusieurs versions légèrement différentes des fichiers NetDooka téléchargés lors de l'étape initiale de PrivateLoader ont été observées.