NetDooka RAT
安全研究人员最近发现了一种新的多组件恶意软件,在其中一个组件之后被昵称为 NetDooka。
NetDooka 被描述为一个恶意“框架”,因为它有多个移动部件和模块,但其核心是一个远程访问木马 (RAT)。该恶意软件使用按安装付费的服务分发。在 NetDooka 核心的 RAT 之上,该框架还包含一个初始加载程序、一个 dropper 模块和一个保护驱动程序。
PrivateLoader 是一个单独的恶意软件,用于分发 NetDooka。 PrivateLoader 是一种瑞士军刀恶意工具,不仅用于下载 NetDooka,还用于下载所有其他恶意付费应用程序和模块,这些应用程序和模块通过相同的按安装付费的中央基础设施和服务提供服务。
在感染的第一阶段,NetDooka 使用一个加载程序,它创建一个新的虚拟桌面实例,并使用它来启动一个负责防病毒软件的卸载程序。在这个阶段,恶意软件会模拟鼠标与卸载程序提示进行交互。
NetDooka RAT 有一个内置模块,可以检查它是否在沙盒虚拟环境中运行,以提高其避免安全研究人员分析的机会。下载第二阶段加载程序,解密并最终启动最终的 RAT 有效负载。这个最后阶段的有效载荷包含一个远程访问木马,它具有许多功能,包括浏览器数据泄露、收集系统信息和执行远程 shell 命令。
NetDooka 包含一个内核驱动程序,旨在保护 RAT 的最终有效负载。
研究人员认为,该恶意软件仍在积极开发中,并且已观察到在初始 PrivateLoader 步骤中下载的几个略有不同版本的 NetDooka 文件。