NetDooka RAT

Ett sofistikerat ramverk för skadlig programvara med flera komponenter som spåras som NetDooka har upptäckts av cybersäkerhetsexperter. Ramverket består av en dedikerad lastare, dropper, skyddsdrivrutin och en fullfjädrad RAT (Remote Access Trojan). För att initiera infektionen förlitade sig hotaktörerna på PrivateLoader pay-per-install (PPI) distributionstjänst för skadlig programvara. Angriparna fick full tillgång till de framgångsrika komprometterade enheterna. Detaljer om hela ramverket och dess komponenter släpptes av säkerhetsforskare.

Den sista nyttolasten i infektionen är NetDooka RAT, ett hot som, även om det fortfarande är under aktiv utveckling, redan kan utföra ett brett spektrum av påträngande och skadliga åtgärder. Den kan köra skalkommandon, starta DDoS-attacker (Distributed Denial-of-Service)-attacker, hämta ytterligare filer till den brutna enheten, exekvera filer, logga tangenttryckningar och underlätta fjärrskrivbordsoperationer.

Innan de startar sina primära funktioner utför RAT flera kontroller efter tecken på virtualisering och analysmiljöer. Den ser också om en specifik mutex finns i systemet. Att hitta mutexet skulle signalera skadlig programvara att en NetDooka RAT-variant redan har infekterat systemet och en andra kommer att avsluta dess exekvering. Hotet tar emot kommandon från en Command-and-Control-server (C2, C&C) via TCP. Kommunikation med servern sker via ett anpassat protokoll där de utbytta paketen följer ett visst format.

Cybersäkerhetsforskare varnar för att de nuvarande funktionerna hos NetDooka RAT kan genomgå betydande förändringar i senare versioner. För tillfället används hotet mestadels för att etablera kortvarig närvaro och uthållighet på enheter som har brutits för att utföra datainsamling och spionageaktiviteter. Men det faktum att skadlig programvara innehåller en loader-komponent, innebär att hotaktörerna kan leverera ytterligare nyttolaster för att också nå andra hotfulla mål.