NetDooka RAT
Biztonsági kutatók a közelmúltban fedeztek fel egy új, többkomponensű kártevőt, amely az egyik komponense után a NetDooka becenevet kapta.
A NetDookát rosszindulatú "keretrendszerként" írják le, mivel több mozgó alkatrésze és modulja van, de a lényege egy távoli hozzáférésű trójai (RAT) rejlik. A rosszindulatú program terjesztése fizetésenkénti szolgáltatás segítségével történik. A NetDooka magjában lévő RAT mellett a keretrendszer egy kezdeti betöltőt, egy dropper modult és egy védelmi illesztőprogramot is tartalmaz.
A PrivateLoader, egy különálló rosszindulatú program, a NetDooka terjesztésére szolgál. A PrivateLoader egyfajta svájci késes rosszindulatú eszköz, amely nem csak a NetDooka letöltésére szolgál, hanem az összes többi rosszindulatú fizetős alkalmazás és modul letöltésére is, amelyeket ugyanazon a központi, telepítésenként fizető infrastruktúrán és szolgáltatáson keresztül szolgálnak ki.
A fertőzés első szakaszában a NetDooka betöltőt használ, amely egy új virtuális asztali példányt hoz létre, és ezzel elindít egy eltávolító programot, amely gondoskodik a víruskereső szoftverekről. Ebben a szakaszban a rosszindulatú program emulálja az egeret, hogy interakcióba lépjen az eltávolító utasításaival.
A NetDooka RAT beépített modullal rendelkezik, amely ellenőrzi, hogy homokozó virtuális környezetben fut-e, így növelve annak esélyét, hogy elkerülje a biztonsági kutatók által végzett elemzést. Letöltésre kerül egy második lépcsős betöltő, amely dekódolja, és végül elindítja a végső RAT hasznos adatot. Ez az utolsó szakasz hasznos adattartalma egy távoli hozzáférésű trójaiból áll, amely számos funkcióval rendelkezik, beleértve a böngészőadatok kiszűrését, a rendszerinformációk gyűjtését és a távoli shell-parancsok végrehajtását.
A NetDooka tartalmaz egy kernel-illesztőprogramot, amely a RAT végső hasznos terhelésének védelmét szolgálja.
A kutatók úgy vélik, hogy a rosszindulatú program még mindig aktív fejlesztés alatt áll, és a kezdeti PrivateLoader lépésben letöltött NetDooka fájlok több, kissé eltérő verzióját is megfigyelték.