NetDooka RAT

Sikkerhetsforskere oppdaget nylig en ny, multi-komponent skadelig programvare som har fått kallenavnet NetDooka, etter en av komponentene.

NetDooka beskrives som et ondsinnet "rammeverk" på grunn av dets mange bevegelige deler og moduler, men i kjernen ligger en fjerntilgangstrojaner (RAT). Skadevaren distribueres ved hjelp av en betal-per-installasjonstjeneste. På toppen av RAT i kjernen av NetDooka, inneholder rammeverket også en startlaster, en droppermodul og en beskyttelsesdriver.

PrivateLoader, et eget stykke skadelig programvare, brukes til distribusjon av NetDooka. PrivateLoader er en slags sveitsisk hærkniv som brukes til å laste ned ikke bare NetDooka, men alle andre ondsinnede betalte applikasjoner og moduler som betjenes gjennom den samme sentrale infrastrukturen og tjenesten for betaling per installasjon.

I den første fasen av infeksjonen bruker NetDooka en laster, som lager en ny virtuell skrivebordsforekomst, og bruker den til å starte et avinstalleringsprogram som tar seg av antivirusprogramvare. På dette stadiet emulerer skadelig programvare musen for å samhandle med avinstalleringsprogrammet.

NetDooka RAT har en innebygd modul som sjekker om den kjører i et virtuelt sandkassemiljø, for å forbedre sjansene for å unngå analyse fra sikkerhetsforskere. En andre-trinns laster lastes ned, som dekrypterer og til slutt starter den endelige RAT-nyttelasten. Denne siste nyttelasten består av en fjerntilgangstrojaner som har en rekke funksjoner, inkludert nettleserdataeksfiltrering, innsamling av systeminformasjon og utføring av eksterne skallkommandoer.

NetDooka inkluderer en kjernedriver som er ment å beskytte den ultimate nyttelasten til RAT.

Forskere mener at skadelig programvare fortsatt er i aktiv utvikling, og at flere litt forskjellige versjoner av NetDooka-filer lastet ned i det første PrivateLoader-trinnet har blitt observert.