NetDooka RAT

Стручњаци за сајбер безбедност открили су софистицирани, вишекомпонентни оквир за малвер који се прати као НетДоока. Оквир се састоји од наменског пуњача, дроппера, заштитног драјвера и пуноправног РАТ-а (тројанца за даљински приступ). Да би покренули инфекцију, актери претњи су се ослањали на услугу дистрибуције злонамерног софтвера ПриватеЛоадер паи-пер-инсталл (ППИ). Нападачи су добили пун приступ успешно компромитованим уређајима. Истраживачи безбедности објавили су детаље о целом оквиру и његовим компонентама.

Коначно оптерећење у инфекцији је НетДоока РАТ, претња која је, иако је још увек у активном развоју, већ способна да изврши широк спектар наметљивих и штетних радњи. Може да извршава команде љуске, покреће ДДоС (Дистрибутед Дениал-оф-Сервице) нападе, преузима додатне датотеке на оштећени уређај, извршава датотеке, евидентира притиске тастера и олакшава операције на удаљеној радној површини.

Пре него што почне са својим примарним функцијама, РАТ обавља неколико провера за знаке виртуелизације и окружења за анализу. Такође изгледа да ли је одређени мутекс присутан у систему. Проналажење мутекса би сигнализирало малверу да је НетДоока РАТ варијанта већ заразила систем, а друга ће прекинути његово извршавање. Претња прима команде са сервера за команду и контролу (Ц2, Ц&Ц) преко ТЦП-а. Комуникација са сервером се одвија преко прилагођеног протокола где размењени пакети прате одређени формат.

Истраживачи сајбер безбедности упозоравају да би тренутне могућности НетДоока РАТ-а могле да претрпе значајне промене у каснијим верзијама. У овом тренутку, претња се углавном користи за успостављање краткорочног присуства и постојаности на проваљеним уређајима за обављање активности прикупљања података и шпијунаже. Међутим, чињеница да оквир злонамерног софтвера садржи компоненту за учитавање, значи да би актери претњи могли да испоруче додатни терет како би остварили и друге претеће циљеве.