NetDooka RAT

Saugumo tyrinėtojai neseniai atrado naują, kelių komponentų kenkėjišką programą, kuri pagal vieną iš jos komponentų buvo pavadinta NetDooka.

„NetDooka“ apibūdinama kaip kenkėjiška „sistema“ dėl daugybės judančių dalių ir modulių, tačiau jos esmė yra nuotolinės prieigos Trojos arklys (RAT). Kenkėjiška programa platinama naudojant mokėjimo už diegimą paslaugą. Be RAT, esančio NetDooka šerdyje, sistemoje taip pat yra pradinis įkroviklis, lašintuvo modulis ir apsaugos tvarkyklė.

„NetDooka“ platinimui naudojama „PrivateLoader“, atskira kenkėjiškos programos dalis. „PrivateLoader“ yra tam tikras Šveicarijos armijos peilio kenkėjiškas įrankis, naudojamas ne tik „NetDooka“, bet ir visoms kitoms kenkėjiškoms mokamoms programoms ir moduliams, aptarnaujamiems per tą pačią centrinę mokėjimo už diegimą infrastruktūrą ir paslaugą, atsisiųsti.

Pirmajame infekcijos etape NetDooka naudoja įkroviklį, kuris sukuria naują virtualų darbalaukio egzempliorių, naudodamas jį pašalinimo programai, kuri rūpinasi antivirusine programine įranga, paleisti. Šiame etape kenkėjiška programa emuliuoja pelę, kad sąveikautų su pašalinimo programos raginimais.

NetDooka RAT turi įmontuotą modulį, kuris tikrina, ar jis veikia smėlio dėžės virtualioje aplinkoje, kad padidintų galimybes išvengti saugumo tyrinėtojų atliekamos analizės. Atsisiunčiamas antrojo etapo krautuvas, kuris iššifruoja ir galiausiai paleidžia galutinį RAT naudingąjį apkrovą. Šią paskutinės pakopos naudingąją apkrovą sudaro nuotolinės prieigos Trojos arklys, turintis daugybę funkcijų, įskaitant naršyklės duomenų išfiltravimą, sistemos informacijos rinkimą ir nuotolinio apvalkalo komandų vykdymą.

„NetDooka“ apima branduolio tvarkyklę, skirtą apsaugoti didžiausią RAT apkrovą.

Tyrėjai mano, kad kenkėjiška programa vis dar aktyviai kuriama ir buvo pastebėtos kelios šiek tiek skirtingos „NetDooka“ failų versijos, atsisiųstos atliekant pradinį „PrivateLoader“ veiksmą.