NetDooka RAT

Исследователи безопасности недавно обнаружили новую многокомпонентную вредоносную программу, получившую название NetDooka в честь одного из ее компонентов.

NetDooka описывается как вредоносная «инфраструктура» из-за множества движущихся частей и модулей, но в ее основе лежит троян удаленного доступа (RAT). Вредоносное ПО распространяется с помощью сервиса с оплатой за установку. Помимо RAT, лежащего в основе NetDooka, фреймворк также содержит начальный загрузчик, модуль дроппера и драйвер защиты.

Для распространения NetDooka используется отдельная вредоносная программа PrivateLoader. PrivateLoader — это своего рода вредоносный инструмент швейцарского армейского ножа, используемый для загрузки не только NetDooka, но и всех других вредоносных платных приложений и модулей, которые обслуживаются через ту же центральную инфраструктуру и службу с оплатой за установку.

На первом этапе заражения NetDooka использует загрузчик, который создает новый экземпляр виртуального рабочего стола, используя его для запуска деинсталлятора, который заботится об антивирусном программном обеспечении. На этом этапе вредоносное ПО эмулирует мышь для взаимодействия с подсказками программы удаления.

NetDooka RAT имеет встроенный модуль, который проверяет, работает ли он в виртуальной среде-песочнице, чтобы повысить шансы избежать анализа исследователями безопасности. Загружается загрузчик второго этапа, который расшифровывает и, наконец, запускает окончательную полезную нагрузку RAT. Эта полезная нагрузка последней стадии включает в себя троян удаленного доступа, который имеет ряд функций, включая кражу данных браузера, сбор системной информации и выполнение команд удаленной оболочки.

NetDooka включает драйвер ядра, предназначенный для защиты конечной полезной нагрузки RAT.

Исследователи полагают, что вредоносное ПО все еще находится в активной разработке, и было замечено несколько немного отличающихся версий файлов NetDooka, загруженных на начальном этапе PrivateLoader.