NetDooka RAT

Säkerhetsforskare upptäckte nyligen en ny skadlig programvara med flera komponenter som har fått smeknamnet NetDooka, efter en av dess komponenter.

NetDooka beskrivs som ett skadligt "ramverk" på grund av dess många rörliga delar och moduler, men i dess kärna ligger en fjärråtkomsttrojan (RAT). Skadlig programvara distribueras med en betal-per-installationstjänst. Utöver RAT i kärnan av NetDooka innehåller ramverket också en initial laddare, en droppmodul och en skyddsdrivrutin.

PrivateLoader, en separat del av skadlig programvara, används för distribution av NetDooka. PrivateLoader är ett slags skadligt verktyg för schweizisk armékniv, som används för att ladda ner inte bara NetDooka utan alla andra skadliga betalprogram och moduler som serveras genom samma centrala infrastruktur och tjänst för betalning per installation.

I det första steget av infektion använder NetDooka en loader, som skapar en ny virtuell skrivbordsinstans, som använder den för att starta ett avinstallationsprogram som tar hand om antivirusprogram. I det här skedet emulerar skadlig programvara musen för att interagera med avinstallationsmeddelandena.

NetDooka RAT har en inbyggd modul som kontrollerar om den körs i en virtuell sandlådemiljö, för att förbättra sina chanser att undvika analys av säkerhetsforskare. En andra-stegs laddare laddas ner, som dekrypterar och slutligen startar den slutliga RAT-nyttolasten. Denna sista nyttolast består av en trojan för fjärråtkomst som har ett antal funktioner, inklusive exfiltrering av webbläsardata, insamling av systeminformation och exekvering av fjärrskalkommandon.

NetDooka inkluderar en kärndrivrutin som är avsedd att skydda den ultimata nyttolasten av RAT.

Forskare tror att skadlig programvara fortfarande är i aktiv utveckling och flera lite olika versioner av NetDooka-filer som laddades ner i det första PrivateLoader-steget har observerats.