NetDooka RAT

NetDooka RAT Descrizione

Un sofisticato framework di malware multicomponente tracciato come NetDooka è stato scoperto dagli esperti di sicurezza informatica. Il framework è costituito da un caricatore dedicato, dropper, driver di protezione e un vero e proprio RAT (Remote Access Trojan). Per avviare l'infezione, gli attori delle minacce si sono affidati al servizio di distribuzione di malware pay-per-install (PPI) di PrivateLoader. Gli aggressori hanno ricevuto pieno accesso ai dispositivi compromessi con successo. I dettagli sull'intero framework e sui suoi componenti sono stati rilasciati dai ricercatori di sicurezza.

L'ultimo carico utile dell'infezione è il NetDooka RAT, una minaccia che, sebbene sia ancora in fase di sviluppo attivo, è già in grado di eseguire un'ampia gamma di azioni intrusive e dannose. Può eseguire comandi shell, lanciare attacchi DDoS (Distributed Denial-of-Service), recuperare file aggiuntivi sul dispositivo violato, eseguire file, registrare sequenze di tasti e facilitare le operazioni desktop remote.

Prima di avviare le sue funzioni primarie, il RAT esegue diversi controlli per segni di virtualizzazione e ambienti di analisi. Verifica anche se nel sistema è presente un mutex specifico. Trovare il mutex segnalerebbe al malware che una variante RAT di NetDooka ha già infettato il sistema e un secondo ne interromperà l'esecuzione. La minaccia riceve comandi da un server Command-and-Control (C2, C&C) tramite TCP. La comunicazione con il server avviene tramite un protocollo personalizzato in cui i pacchetti scambiati seguono un determinato formato.

I ricercatori di sicurezza informatica avvertono che le attuali capacità di NetDooka RAT potrebbero subire cambiamenti significativi nelle versioni successive. Al momento, la minaccia viene utilizzata principalmente per stabilire la presenza e la persistenza a breve termine sui dispositivi violati per svolgere attività di raccolta dati e spionaggio. Tuttavia, il fatto che il frame del malware incorpori un componente di caricamento significa che gli attori delle minacce potrebbero fornire payload aggiuntivi per perseguire anche altri obiettivi minacciosi.