NetDooka RAT

安全研究人員最近發現了一種新的多組件惡意軟件，在其中一個組件之後被暱稱為 NetDooka。

NetDooka 被描述為一個惡意“框架”，因為它有多個移動部件和模塊，但其核心是一個遠程訪問木馬 (RAT)。該惡意軟件使用按安裝付費的服務分發。在 NetDooka 核心的 RAT 之上，該框架還包含一個初始加載程序、一個 dropper 模塊和一個保護驅動程序。

PrivateLoader 是一個單獨的惡意軟件，用於分發 NetDooka。 PrivateLoader 是一種瑞士軍刀惡意工具，不僅用於下載 NetDooka，還用於下載所有其他惡意付費應用程序和模塊，這些應用程序和模塊通過相同的按安裝付費的中央基礎設施和服務提供服務。

在感染的第一階段，NetDooka 使用一個加載程序，它創建一個新的虛擬桌面實例，並使用它來啟動一個負責防病毒軟件的卸載程序。在這個階段，惡意軟件會模擬鼠標與卸載程序提示進行交互。

NetDooka RAT 有一個內置模塊，可以檢查它是否在沙盒虛擬環境中運行，以提高其避免安全研究人員分析的機會。下載第二階段加載程序，解密並最終啟動最終的 RAT 有效負載。這個最後階段的有效載荷包含一個遠程訪問木馬，它具有許多功能，包括瀏覽器數據洩露、收集系統信息和執行遠程 shell 命令。

NetDooka 包含一個內核驅動程序，旨在保護 RAT 的最終有效負載。

研究人員認為，該惡意軟件仍在積極開發中，並且已觀察到在初始 PrivateLoader 步驟中下載的幾個略有不同版本的 NetDooka 文件。