Ліцензії на кілька пристроїв (знижки за обсяги)
Threat Database Remote Administration Tools NetDooka RAT

NetDooka RAT

До CagedTech року в Remote Administration Tools році
Перекласти на:
Українська

Експерти з кібербезпеки виявили складну багатокомпонентну структуру шкідливого програмного забезпечення, яка відстежується як NetDooka. Фреймворк складається з спеціального завантажувача, дроппера, драйвера захисту і повноцінного RAT (трояна віддаленого доступу). Щоб ініціювати зараження, суб’єкти загроз покладалися на службу розповсюдження шкідливих програм PrivateLoader з оплатою за встановлення (PPI). Зловмисники отримали повний доступ до успішно зламаних пристроїв. Дослідники безпеки оприлюднили подробиці про весь фреймворк та його компоненти.

Останнім корисним навантаженням у зараженні є NetDooka RAT, загроза, яка все ще знаходиться в стадії активної розробки, але вже здатна виконувати широкий спектр нав’язливих і шкідливих дій. Він може виконувати команди оболонки, запускати атаки DDoS (розподілена відмова в обслуговуванні), завантажувати додаткові файли на зламаний пристрій, виконувати файли, реєструвати натискання клавіш і полегшувати операції на віддаленому робочому столі.

Перед запуском своїх основних функцій RAT виконує кілька перевірок на наявність ознак віртуалізації та середовища аналізу. Він також перевіряє, чи є в системі певний мьютекс. Знаходження мьютекса буде сигналізувати зловмисному програмному забезпеченню, що варіант NetDooka RAT вже заразив систему, а другий припинить його виконання. Загроза отримує команди від сервера командування та керування (C2, C&C) через TCP. Зв'язок із сервером здійснюється за допомогою спеціального протоколу, де обмінювані пакети мають певний формат.

Дослідники кібербезпеки попереджають, що поточні можливості NetDooka RAT можуть зазнати значних змін у наступних версіях. На даний момент загроза в основному використовується для встановлення короткочасної присутності та збереження на зламаних пристроях для здійснення збору даних та шпигунської діяльності. Однак той факт, що фрейм зловмисного програмного забезпечення містить компонент завантажувача, означає, що суб’єкти загроз можуть доставити додаткові корисні навантаження для досягнення інших загрозливих цілей.

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
15,356
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
Завантаження...