NetDooka RAT
I ricercatori della sicurezza hanno recentemente scoperto un nuovo malware multicomponente che è stato soprannominato NetDooka, in onore di uno dei suoi componenti.
NetDooka è descritto come un "framework" dannoso a causa delle sue molteplici parti mobili e moduli, ma al suo interno si trova un trojan di accesso remoto (RAT). Il malware viene distribuito utilizzando un servizio pay-per-install. Oltre al RAT alla base di NetDooka, il framework contiene anche un caricatore iniziale, un modulo contagocce e un driver di protezione.
PrivateLoader, un malware separato, viene utilizzato per la distribuzione di NetDooka. PrivateLoader è una sorta di strumento dannoso coltellino svizzero, utilizzato per scaricare non solo NetDooka ma tutte le altre applicazioni e moduli dannosi a pagamento che vengono serviti attraverso la stessa infrastruttura e servizio pay-per-install centrale.
Nella prima fase dell'infezione, NetDooka utilizza un caricatore, che crea una nuova istanza di desktop virtuale, utilizzandola per avviare un programma di disinstallazione che si occupa del software antivirus. In questa fase, il malware emula il mouse per interagire con i prompt del programma di disinstallazione.
NetDooka RAT ha un modulo integrato che controlla se è in esecuzione in un ambiente virtuale sandbox, per migliorare le sue possibilità di evitare l'analisi da parte dei ricercatori di sicurezza. Viene scaricato un caricatore di seconda fase, che decodifica e infine avvia il payload RAT finale. Questo payload della fase finale comprende un trojan di accesso remoto che ha una serie di funzionalità, tra cui l'esfiltrazione dei dati del browser, la raccolta di informazioni di sistema e l'esecuzione di comandi shell remoti.
NetDooka include un driver del kernel che ha lo scopo di proteggere il carico utile finale del RAT.
I ricercatori ritengono che il malware sia ancora in fase di sviluppo attivo e sono state osservate diverse versioni leggermente diverse dei file NetDooka scaricati nella fase iniziale di PrivateLoader.