NetDooka RAT

NetDooka RAT Descriere

Un cadru de malware sofisticat, cu mai multe componente, urmărit ca NetDooka, a fost descoperit de experții în securitate cibernetică. Cadrul constă dintr-un încărcător dedicat, dropper, driver de protecție și un RAT (Remote Access Troian) cu drepturi depline. Pentru a iniția infecția, actorii amenințărilor s-au bazat pe serviciul de distribuție a malware-ului PrivateLoader, cu plată pe instalare (PPI). Atacatorii au primit acces deplin la dispozitivele compromise cu succes. Detaliile despre întregul cadru și componentele sale au fost lansate de cercetătorii în domeniul securității.

Sarcina utilă finală în infecție este NetDooka RAT, o amenințare care, deși este încă în dezvoltare activă, este deja capabilă să efectueze o gamă largă de acțiuni intruzive și dăunătoare. Poate executa comenzi shell, lansa atacuri DDoS (Distributed Denial-of-Service), poate prelua fișiere suplimentare pe dispozitivul afectat, poate executa fișiere, înregistrează apăsările de taste și poate facilita operațiunile desktop de la distanță.

Înainte de a începe funcțiile sale primare, RAT efectuează mai multe verificări pentru semne de virtualizare și medii de analiză. De asemenea, arată dacă un anumit mutex este prezent în sistem. Găsirea mutex-ului ar semnala malware-ului că o variantă NetDooka RAT a infectat deja sistemul și o a doua va opri execuția acestuia. Amenințarea primește comenzi de la un server Command-and-Control (C2, C&C) prin TCP. Comunicarea cu serverul se realizează printr-un protocol personalizat în care pachetele schimbate urmează un anumit format.

Cercetătorii în domeniul securității cibernetice avertizează că capacitățile actuale ale NetDooka RAT ar putea suferi modificări semnificative în versiunile ulterioare. În prezent, amenințarea este folosită în principal pentru a stabili prezența și persistența pe termen scurt pe dispozitivele violate pentru a efectua activități de colectare a datelor și de spionaj. Cu toate acestea, faptul că cadrul de malware încorporează o componentă de încărcare, înseamnă că actorii amenințărilor ar putea furniza încărcături utile suplimentare pentru a urmări și alte obiective amenințătoare.