NetDooka RAT
Expertos en ciberseguridad han descubierto un sofisticado marco de malware de varios componentes rastreado como NetDooka. El marco consta de un cargador dedicado, un cuentagotas, un controlador de protección y un RAT completo (troyano de acceso remoto). Para iniciar la infección, los atacantes confiaron en el servicio de distribución de malware de pago por instalación (PPI) PrivateLoader. Los atacantes recibieron acceso completo a los dispositivos comprometidos con éxito. Los investigadores de seguridad publicaron detalles sobre todo el marco y sus componentes.
La última carga útil de la infección es NetDooka RAT, una amenaza que, aunque todavía está en desarrollo activo, ya es capaz de realizar una amplia gama de acciones intrusivas y dañinas. Puede ejecutar comandos de shell, lanzar ataques DDoS (Distributed Denial-of-Service), obtener archivos adicionales para el dispositivo violado, ejecutar archivos, registrar pulsaciones de teclas y facilitar las operaciones de escritorio remoto.
Antes de comenzar sus funciones principales, la RAT realiza varias comprobaciones en busca de signos de entornos de análisis y virtualización. También mira si un mutex específico está presente en el sistema. Encontrar el mutex le indicaría al malware que una variante RAT de NetDooka ya infectó el sistema y una segunda terminará su ejecución. La amenaza recibe comandos de un servidor de comando y control (C2, C&C) a través de TCP. La comunicación con el servidor se realiza a través de un protocolo personalizado donde los paquetes intercambiados siguen un formato determinado.
Los investigadores de ciberseguridad advierten que las capacidades actuales de NetDooka RAT podrían sufrir cambios significativos en versiones posteriores. Por el momento, la amenaza se usa principalmente para establecer una presencia y persistencia a corto plazo en los dispositivos violados para realizar actividades de recopilación de datos y espionaje. Sin embargo, el hecho de que el marco de malware incorpore un componente de carga significa que los actores de amenazas también podrían entregar cargas útiles adicionales para perseguir otros objetivos amenazantes.
