NetDooka RAT

Descrição do NetDooka RAT

Uma estrutura de malware sofisticada e multicomposta, rastreada como NetDooka, foi descoberta pelos especialistas em segurança cibernética. A estrutura consiste em um carregador dedicado, um dropper, um driver de proteção e um RAT (Trojan de Acesso Remoto) completo. Para iniciar a infecção, os agentes de ameaças contaram com o serviço de distribuição de malware PrivateLoader pay-per-install (PPI). Os invasores receberam acesso total aos dispositivos comprometidos com sucesso. Detalhes sobre todo o framework e seus componentes foram divulgados pelos pesquisadores de segurança.

A carga útil final na infecção é o NetDooka RAT, uma ameaça que, embora ainda em desenvolvimento ativo, já é capaz de executar uma ampla gama de ações intrusivas e prejudiciais. Ele pode executar comandos shell, lançar ataques de DDoS (Distributed Denial-of-Service), buscar arquivos adicionais para o dispositivo violado, executar arquivos, registrar pressionamentos de tecla e facilitar operações de desktop remoto.

Antes de iniciar suas funções primárias, o RAT realiza várias verificações de sinais de virtualização e ambientes de análise. Também verifica se um mutex específico está presente no sistema. Encontrar o mutex sinaliza ao malware que uma variante do NetDooka RAT já infectou o sistema e um segundo encerrará sua execução. A ameaça recebe comandos de um servidor de Comando e Controle (C2, C&C) via TCP. A comunicação com o servidor é realizada através de um protocolo personalizado, onde os pacotes trocados seguem um determinado formato.

Os pesquisadores de segurança cibernética alertam que os recursos atuais do NetDooka RAT podem sofrer mudanças significativas em versões posteriores. No momento, a ameaça é usada principalmente para estabelecer presença e persistência de curto prazo nos dispositivos violados para realizar atividades de coleta de dados e espionagem. No entanto, o fato do quadro de malware incorporar um componente de carregador significa que os agentes de ameaças podem fornecer cargas adicionais para procurar por outros objetivos ameaçadores.