NetDooka RAT

Badacze bezpieczeństwa odkryli niedawno nowe, wieloskładnikowe złośliwe oprogramowanie, które zostało nazwane NetDooka, od jednego z jego komponentów.

NetDooka jest opisywany jako złośliwa „struktura” ze względu na wiele ruchomych części i modułów, ale w jego rdzeniu leży trojan zdalnego dostępu (RAT). Złośliwe oprogramowanie jest rozpowszechniane za pomocą usługi pay-per-install. Oprócz RAT w rdzeniu NetDooka, framework zawiera również początkowy program ładujący, moduł droppera i sterownik ochrony.

PrivateLoader, osobny szkodliwy program, jest wykorzystywany do dystrybucji NetDooka. PrivateLoader to rodzaj złośliwego narzędzia Swiss Army Knife, używanego do pobierania nie tylko NetDooka, ale wszystkich innych złośliwych płatnych aplikacji i modułów, które są obsługiwane przez tę samą centralną infrastrukturę i usługę typu „płatność za instalację”.

W pierwszym etapie infekcji NetDooka korzysta z modułu ładującego, który tworzy nową instancję wirtualnego pulpitu, wykorzystując ją do uruchomienia deinstalatora, który zajmuje się oprogramowaniem antywirusowym. Na tym etapie złośliwe oprogramowanie emuluje mysz w celu interakcji z monitami dezinstalatora.

NetDooka RAT ma wbudowany moduł, który sprawdza, czy działa w wirtualnym środowisku piaskownicy, aby zwiększyć jego szanse na uniknięcie analizy przez badaczy bezpieczeństwa. Pobierany jest program ładujący drugiego stopnia, który odszyfrowuje i ostatecznie uruchamia ostatni ładunek RAT. Ten ostatni ładunek zawiera trojana zdalnego dostępu, który ma wiele funkcji, w tym eksfiltrację danych przeglądarki, zbieranie informacji o systemie i wykonywanie zdalnych poleceń powłoki.

NetDooka zawiera sterownik jądra, który ma chronić ostateczny ładunek RAT.

Badacze uważają, że złośliwe oprogramowanie jest nadal w fazie rozwoju i zaobserwowano kilka nieco różnych wersji plików NetDooka pobranych w początkowym kroku PrivateLoader.