NetDooka RAT
Un cadre sophistiqué de logiciels malveillants à plusieurs composants suivi sous le nom de NetDooka a été découvert par des experts en cybersécurité. Le cadre se compose d'un chargeur dédié, d'un dropper, d'un pilote de protection et d'un RAT (cheval de Troie d'accès à distance) à part entière. Pour lancer l'infection, les acteurs de la menace se sont appuyés sur le service de distribution de logiciels malveillants PrivateLoader pay-per-install (PPI). Les attaquants ont reçu un accès complet aux appareils compromis avec succès. Des détails sur l'ensemble du framework et ses composants ont été publiés par des chercheurs en sécurité.
La charge utile finale de l'infection est le NetDooka RAT, une menace qui, bien qu'en cours de développement actif, est déjà capable d'effectuer un large éventail d'actions intrusives et nuisibles. Il peut exécuter des commandes shell, lancer des attaques DDoS (Distributed Denial-of-Service), récupérer des fichiers supplémentaires sur le périphérique piraté, exécuter des fichiers, enregistrer des frappes au clavier et faciliter les opérations de bureau à distance.
Avant de commencer ses fonctions principales, le RAT effectue plusieurs vérifications pour détecter des signes d'environnements de virtualisation et d'analyse. Il regarde également si un mutex spécifique est présent dans le système. Trouver le mutex signalerait au logiciel malveillant qu'une variante de NetDooka RAT a déjà infecté le système et qu'une seconde mettra fin à son exécution. La menace reçoit des commandes d'un serveur Command-and-Control (C2, C&C) via TCP. La communication avec le serveur s'effectue via un protocole personnalisé où les paquets échangés suivent un certain format.
Les chercheurs en cybersécurité avertissent que les capacités actuelles du NetDooka RAT pourraient subir des changements importants dans les versions ultérieures. À l'heure actuelle, la menace est principalement utilisée pour établir une présence et une persistance à court terme sur les appareils piratés afin d'effectuer des activités de collecte de données et d'espionnage. Cependant, le fait que le cadre du logiciel malveillant intègre un composant de chargement signifie que les acteurs de la menace pourraient également fournir des charges utiles supplémentaires pour poursuivre d'autres objectifs menaçants.
