RATO NetDooka
Pesquisadores de segurança descobriram recentemente um novo malware multicomponente que foi apelidado de NetDooka, em homenagem a um de seus componentes.
O NetDooka é descrito como uma "estrutura" maliciosa devido às suas múltiplas partes móveis e módulos, mas em seu núcleo está um trojan de acesso remoto (RAT). O malware é distribuído usando um serviço de pagamento por instalação. Além do RAT no núcleo do NetDooka, a estrutura também contém um carregador inicial, um módulo dropper e um driver de proteção.
O PrivateLoader, um malware separado, é usado para a distribuição do NetDooka. O PrivateLoader é uma espécie de ferramenta maliciosa canivete suíço, usada para baixar não apenas o NetDooka, mas todos os outros aplicativos e módulos pagos maliciosos que são servidos através da mesma infraestrutura e serviço central de pagamento por instalação.
No primeiro estágio da infecção, o NetDooka usa um carregador, que cria uma nova instância de desktop virtual, usando-o para iniciar um desinstalador que cuida do software antivírus. Nesse estágio, o malware emula o mouse para interagir com os prompts do desinstalador.
O NetDooka RAT possui um módulo integrado que verifica se está sendo executado em um ambiente virtual sandbox, para melhorar suas chances de evitar análises por pesquisadores de segurança. Um carregador de segundo estágio é baixado, que descriptografa e finalmente lança a carga útil RAT final. Essa carga de estágio final compreende um trojan de acesso remoto que possui vários recursos, incluindo exfiltração de dados do navegador, coleta de informações do sistema e execução de comandos remotos do shell.
O NetDooka inclui um driver de kernel destinado a proteger a carga útil final do RAT.
Os pesquisadores acreditam que o malware ainda está em desenvolvimento ativo e várias versões ligeiramente diferentes dos arquivos NetDooka baixados na etapa inicial do PrivateLoader foram observadas.
