NetDooka RAT
セキュリティ研究者は最近、そのコンポーネントの1つにちなんで、NetDookaというニックネームが付けられた新しいマルチコンポーネントマルウェアを発見しました。
NetDookaは、その複数の可動部分とモジュールのために悪意のある「フレームワーク」として説明されていますが、その核となるのはリモートアクセストロイの木馬(RAT)です。マルウェアは、インストールごとの支払いサービスを使用して配布されます。 NetDookaのコアにあるRATに加えて、フレームワークには、初期ローダー、ドロッパーモジュール、および保護ドライバーも含まれています。
NetDookaの配布には、別のマルウェアであるPrivateLoaderが使用されます。 PrivateLoaderは一種のスイスアーミーナイフの悪意のあるツールであり、NetDookaだけでなく、同じ中央のインストールごとの支払いインフラストラクチャとサービスを通じて提供される他のすべての悪意のある有料アプリケーションとモジュールをダウンロードするために使用されます。
感染の最初の段階では、NetDookaはローダーを使用します。ローダーは新しい仮想デスクトップインスタンスを作成し、それを使用してウイルス対策ソフトウェアを処理するアンインストーラーを起動します。この段階で、マルウェアはマウスをエミュレートしてアンインストーラープロンプトと対話します。
NetDooka RATには、セキュリティ研究者による分析を回避する可能性を高めるために、サンドボックス仮想環境で実行されているかどうかをチェックするモジュールが組み込まれています。第2ステージのローダーがダウンロードされ、最終的なRATペイロードが復号化されて最終的に起動されます。この最終段階のペイロードは、ブラウザデータの抽出、システム情報の収集、リモートシェルコマンドの実行など、多くの機能を備えたリモートアクセス型トロイの木馬で構成されています。
NetDookaには、RATの最終的なペイロードを保護することを目的としたカーネルドライバーが含まれています。
研究者は、マルウェアがまだ活発に開発中であり、最初のPrivateLoaderステップでダウンロードされたNetDookaファイルのいくつかのわずかに異なるバージョンが観察されたと信じています。