NetDooka RAT

Eksperci ds. cyberbezpieczeństwa odkryli wyrafinowaną, wieloskładnikową platformę złośliwego oprogramowania śledzoną jako NetDooka. Framework składa się z dedykowanego modułu ładującego, droppera, sterownika ochrony i pełnoprawnego RAT (Trojan dostępu zdalnego). Aby zainicjować infekcję, cyberprzestępcy polegali na usłudze dystrybucji złośliwego oprogramowania PrivateLoader typu pay-per-install (PPI). Osoby atakujące otrzymały pełny dostęp do pomyślnie zhakowanych urządzeń. Szczegóły dotyczące całego frameworka i jego komponentów zostały opublikowane przez badaczy bezpieczeństwa.

Ostatnim ładunkiem infekcji jest NetDooka RAT, zagrożenie, które, choć wciąż aktywnie rozwijane, jest już zdolne do wykonywania wielu inwazyjnych i szkodliwych działań. Może wykonywać polecenia powłoki, uruchamiać ataki DDoS (Distributed Denial-of-Service), pobierać dodatkowe pliki do naruszonego urządzenia, wykonywać pliki, rejestrować naciśnięcia klawiszy i ułatwiać operacje na zdalnym pulpicie.

Przed uruchomieniem swoich podstawowych funkcji RAT przeprowadza kilka testów pod kątem oznak środowisk wirtualizacji i analizy. Sprawdza również, czy w systemie występuje określony mutex. Znalezienie muteksu zasygnalizowałoby szkodliwemu oprogramowaniu, że wariant NetDooka RAT już zainfekował system, a drugi przerwie jego działanie. Zagrożenie odbiera polecenia z serwera Command-and-Control (C2, C&C) za pośrednictwem protokołu TCP. Komunikacja z serwerem odbywa się za pomocą niestandardowego protokołu, w którym wymieniane pakiety mają określony format.

Badacze cyberbezpieczeństwa ostrzegają, że obecne możliwości NetDooka RAT mogą ulec znaczącym zmianom w późniejszych wersjach. Obecnie zagrożenie jest głównie wykorzystywane do krótkotrwałej obecności i trwałości na naruszonych urządzeniach w celu zbierania danych i działań szpiegowskich. Jednak fakt, że ramka złośliwego oprogramowania zawiera komponent ładujący, oznacza, że cyberprzestępcy mogą dostarczać dodatkowe ładunki, aby realizować inne groźne cele.