NetDooka RAT

En sofistikeret multi-komponent malware-ramme, der spores som NetDooka, er blevet opdaget af cybersikkerhedseksperter. Rammen består af en dedikeret læsser, dropper, beskyttelsesdriver og en fuldgyldig RAT (Remote Access Trojan). For at starte infektionen stolede trusselsaktørerne på PrivateLoader pay-per-install (PPI) malwaredistributionstjeneste. Angriberne fik fuld adgang til de kompromitterede enheder. Detaljer om hele rammeværket og dets komponenter blev frigivet af sikkerhedsforskere.

Den endelige nyttelast i infektionen er NetDooka RAT, en trussel, der, selvom den stadig er under aktiv udvikling, allerede er i stand til at udføre en bred vifte af påtrængende og skadelige handlinger. Det kan udføre shell-kommandoer, starte DDoS (Distributed Denial-of-Service)-angreb, hente yderligere filer til den brudte enhed, udføre filer, logge tastetryk og lette fjernskrivebordsoperationer.

Før RAT starter sine primære funktioner, udfører den adskillige kontroller for tegn på virtualisering og analysemiljøer. Det ser også efter, om en specifik mutex er til stede i systemet. At finde mutex'en vil signalere malwaren om, at en NetDooka RAT-variant allerede har inficeret systemet, og en anden vil afslutte dets eksekvering. Truslen modtager kommandoer fra en Command-and-Control-server (C2, C&C) via TCP. Kommunikation med serveren udføres via en brugerdefineret protokol, hvor de udvekslede pakker følger et bestemt format.

Cybersikkerhedsforskere advarer om, at de nuværende muligheder i NetDooka RAT kan undergå betydelige ændringer i senere versioner. I øjeblikket bruges truslen mest til at etablere kortsigtet tilstedeværelse og vedholdenhed på de brudte enheder til at udføre dataindsamling og spionageaktiviteter. Men det faktum, at malware-rammen indeholder en loader-komponent, betyder, at trusselsaktørerne kunne levere yderligere nyttelast for også at forfølge andre truende mål.