NetDooka RAT

NetDooka RAT Описание

Усъвършенствана, многокомпонентна рамка за злонамерен софтуер, проследявана като NetDooka, беше открита от експерти по киберсигурност. Рамката се състои от специален зареждане, капкомер, драйвер за защита и пълноправен RAT (троянски кон за отдалечен достъп). За да инициират инфекцията, участниците в заплахата разчитаха на услугата за разпространение на зловреден софтуер PrivateLoader с плащане на инсталиране (PPI). Нападателите получиха пълен достъп до успешно компрометираните устройства. Подробности за цялата рамка и нейните компоненти бяха публикувани от изследователи по сигурността.

Последният полезен товар в инфекцията е NetDooka RAT, заплаха, която макар и все още е в процес на активно развитие, вече е способна да извършва широк спектър от натрапчиви и вредни действия. Той може да изпълнява команди на обвивката, да стартира DDoS (разпределен отказ на услуга) атаки, да извлича допълнителни файлове на нарушеното устройство, да изпълнява файлове, да регистрира натискания на клавиши и да улеснява операциите на отдалечен работен плот.

Преди да започне основните си функции, RAT извършва няколко проверки за признаци на виртуализация и среда за анализ. Изглежда също дали в системата присъства специфичен мютекс. Намирането на мютекса би сигнализирало на злонамерения софтуер, че вариант на NetDooka RAT вече е заразил системата, а втори ще прекрати изпълнението му. Заплахата получава команди от сървър за командване и управление (C2, C&C) чрез TCP. Комуникацията със сървъра се осъществява чрез персонализиран протокол, при който обменяните пакети следват определен формат.

Изследователите по киберсигурност предупреждават, че настоящите възможности на NetDooka RAT могат да претърпят значителни промени в по-късните версии. В момента заплахата се използва предимно за установяване на краткосрочно присъствие и постоянство на взломените устройства за извършване на дейности по събиране на данни и шпионаж. Въпреки това, фактът, че рамката на зловреден софтуер включва компонент за зареждане, означава, че участниците в заплахата могат да доставят допълнителни полезни товари, за да преследват и други заплашителни цели.