NetDooka RAT

Ein ausgeklügeltes, aus mehreren Komponenten bestehendes Malware-Framework, das als NetDooka verfolgt wird, wurde von Cybersicherheitsexperten entdeckt. Das Framework besteht aus einem dedizierten Loader, Dropper, Schutztreiber und einem vollwertigen RAT (Remote Access Trojan). Um die Infektion zu initiieren, verließen sich die Angreifer auf den Pay-per-Install (PPI)-Malware-Verteilungsdienst PrivateLoader. Die Angreifer erhielten vollen Zugriff auf die erfolgreich kompromittierten Geräte. Details zum gesamten Framework und seinen Komponenten wurden von Sicherheitsforschern veröffentlicht.

Die letzte Nutzlast der Infektion ist die NetDooka RAT, eine Bedrohung, die, obwohl sie sich noch in aktiver Entwicklung befindet, bereits in der Lage ist, eine Vielzahl von aufdringlichen und schädlichen Aktionen auszuführen. Es kann Shell-Befehle ausführen, DDoS-Angriffe (Distributed Denial-of-Service) starten, zusätzliche Dateien auf das angegriffene Gerät abrufen, Dateien ausführen, Tastenanschläge protokollieren und Remote-Desktop-Operationen erleichtern.

Vor dem Start seiner primären Funktionen führt die RAT mehrere Überprüfungen auf Anzeichen von Virtualisierung und Analyseumgebungen durch. Es wird auch geprüft, ob ein bestimmter Mutex im System vorhanden ist. Das Finden des Mutex würde der Malware signalisieren, dass eine NetDooka RAT-Variante das System bereits infiziert hat und eine zweite ihre Ausführung beenden wird. Die Bedrohung erhält Befehle von einem Command-and-Control-Server (C2, C&C) über TCP. Die Kommunikation mit dem Server erfolgt über ein benutzerdefiniertes Protokoll, bei dem die ausgetauschten Pakete einem bestimmten Format folgen.

Cybersicherheitsforscher warnen davor, dass die aktuellen Fähigkeiten der NetDooka RAT in späteren Versionen erheblichen Änderungen unterliegen könnten. Im Moment wird die Bedrohung hauptsächlich verwendet, um eine kurzfristige Präsenz und Persistenz auf den verletzten Geräten aufzubauen, um Daten zu sammeln und Spionageaktivitäten durchzuführen. Die Tatsache, dass der Malware-Frame eine Loader-Komponente enthält, bedeutet jedoch, dass die Bedrohungsakteure zusätzliche Payloads liefern könnten, um auch andere Bedrohungsziele zu verfolgen.