Лицензии на несколько устройств (оптовые скидки)
Threat Database Remote Administration Tools NetDooka RAT

NetDooka RAT

К CagedTech году в Remote Administration Tools году
Перевести на:
Русский

Эксперты по кибербезопасности обнаружили сложную многокомпонентную вредоносную среду, отслеживаемую как NetDooka. Фреймворк состоит из специального загрузчика, дроппера, драйвера защиты и полноценного RAT (троян удаленного доступа). Чтобы инициировать заражение, злоумышленники полагались на службу распространения вредоносных программ с оплатой за установку (PPI) PrivateLoader. Злоумышленники получили полный доступ к успешно скомпрометированным устройствам. Подробности обо всей структуре и ее компонентах были опубликованы исследователями безопасности.

Последней полезной нагрузкой в заражении является NetDooka RAT, угроза, которая, хотя и находится в стадии активной разработки, уже способна выполнять широкий спектр навязчивых и вредоносных действий. Он может выполнять команды оболочки, запускать DDoS-атаки (распределенный отказ в обслуживании), извлекать дополнительные файлы на взломанное устройство, выполнять файлы, регистрировать нажатия клавиш и облегчать операции удаленного рабочего стола.

Прежде чем приступить к своим основным функциям, RAT выполняет несколько проверок на наличие признаков виртуализации и анализа среды. Он также проверяет, присутствует ли в системе конкретный мьютекс. Обнаружение мьютекса будет сигнализировать вредоносному ПО о том, что вариант NetDooka RAT уже заразил систему, а второй прекратит его выполнение. Угроза получает команды от сервера Command-and-Control (C2, C&C) по протоколу TCP. Связь с сервером осуществляется по специальному протоколу, в котором обмениваемые пакеты имеют определенный формат.

Исследователи кибербезопасности предупреждают, что текущие возможности NetDooka RAT могут претерпеть значительные изменения в более поздних версиях. На данный момент угроза в основном используется для установления кратковременного присутствия и сохранения на взломанных устройствах для сбора данных и шпионской деятельности. Однако тот факт, что фрейм вредоносного ПО включает компонент-загрузчик, означает, что субъекты угрозы могут доставлять дополнительные полезные нагрузки для достижения других угрожающих целей.

В тренде

Наиболее просматриваемые

Загрузка...