NetDooka RAT

NetDooka RAT Description

Els experts en ciberseguretat han descobert un marc de programari maliciós sofisticat i multicomponent que es fa un seguiment com a NetDooka. El marc consta d'un carregador, dropper, controlador de protecció dedicat i un RAT (troià d'accés remot) complet. Per iniciar la infecció, els actors de l'amenaça van confiar en el servei de distribució de programari maliciós de pagament per instal·lació (PPI) de PrivateLoader. Els atacants van rebre accés total als dispositius compromesos amb èxit. Els investigadors de seguretat van publicar detalls sobre tot el marc i els seus components.

La càrrega útil final de la infecció, és el NetDooka RAT, una amenaça que encara que encara està en desenvolupament actiu ja és capaç de realitzar un ampli ventall d'accions intrusives i nocives. Pot executar ordres d'intèrpret d'ordres, llançar atacs DDoS (Denegació de servei distribuïda), obtenir fitxers addicionals al dispositiu violat, executar fitxers, registrar les pulsacions de tecles i facilitar les operacions d'escriptori remot.

Abans d'iniciar les seves funcions principals, la RAT realitza diverses comprovacions per detectar signes d'entorns de virtualització i anàlisi. També mira si hi ha un mutex específic al sistema. Trobar el mutex indicaria al programari maliciós que una variant de NetDooka RAT ja ha infectat el sistema i una segona finalitzarà la seva execució. L'amenaça rep ordres d'un servidor d'ordres i control (C2, C&C) mitjançant TCP. La comunicació amb el servidor es realitza mitjançant un protocol personalitzat on els paquets intercanviats segueixen un format determinat.

Els investigadors de ciberseguretat adverteixen que les capacitats actuals del NetDooka RAT podrien patir canvis significatius en versions posteriors. De moment, l'amenaça s'utilitza principalment per establir presència i persistència a curt termini en els dispositius violats per dur a terme activitats de recollida de dades i espionatge. Tanmateix, el fet que el marc de programari maliciós incorpori un component de càrrega, significa que els actors de l'amenaça també podrien oferir càrregues addicionals per perseguir altres objectius amenaçadors.