NetDooka RAT

Odborníci na kybernetickou bezpečnost objevili sofistikovaný, vícesložkový malwarový rámec sledovaný jako NetDooka. Rámec se skládá z vyhrazeného zavaděče, dropperu, ovladače ochrany a plnohodnotného trojského koně RAT (Remote Access). K zahájení infekce se aktéři hrozby spoléhali na službu distribuce malwaru PrivateLoader pay-per-install (PPI). Útočníci získali plný přístup k úspěšně kompromitovaným zařízením. Podrobnosti o celém frameworku a jeho komponentách zveřejnili bezpečnostní výzkumníci.

Posledním užitečným zatížením infekce je NetDooka RAT, hrozba, která, i když je stále v aktivním vývoji, je již schopna provádět širokou škálu rušivých a škodlivých akcí. Může spouštět příkazy shellu, spouštět útoky DDoS (Distributed Denial-of-Service), načítat další soubory do narušeného zařízení, spouštět soubory, zaznamenávat stisknuté klávesy a usnadňovat operace vzdálené plochy.

Před spuštěním svých primárních funkcí provede RAT několik kontrol na známky virtualizačních a analytických prostředí. Také se podívá, zda je v systému přítomen konkrétní mutex. Nalezení mutexu by signalizovalo malwaru, že varianta NetDooka RAT již infikovala systém a druhá varianta ukončí jeho provádění. Hrozba přijímá příkazy ze serveru Command-and-Control (C2, C&C) přes TCP. Komunikace se serverem probíhá přes vlastní protokol, kde vyměňované pakety mají určitý formát.

Výzkumníci z oblasti kybernetické bezpečnosti varují, že současné možnosti NetDooka RAT by mohly v pozdějších verzích doznat významných změn. V současné době se hrozba většinou používá k navázání krátkodobé přítomnosti a setrvání na narušených zařízeních za účelem provádění sběru dat a špionážních činností. Skutečnost, že rámec malwaru obsahuje komponentu zavaděče, však znamená, že aktéři ohrožení mohou dodat další užitečné zatížení, aby mohli sledovat i jiné ohrožující cíle.