NetDooka olarak bilinen yeni bir kötü amaçlı yazılım çerçevesinin, PrivatEloader'ın giriş başına ödeme (PPI) kötü amaçlı yazılım dağıtım hizmeti aracılığıyla dağıtıldığı ve tehdit aktörlerinin enfekte bir cihaza tam erişimine izin verdiği keşfedildi.
Daha önce belgelenmemiş bu kötü amaçlı yazılım çerçevesi, bir yükleyici, bir damlalık, koruma sürücüsü ve özel bir ağ iletişim protokolüne dayanan güçlü bir sıçan bileşeni içerir.
Netdooka'nın ilk örnekleri TrendMicro'daki araştırmacılar tarafından keşfedildi, bu da araç hala erken bir gelişme aşamasındayken, zaten çok yetenekli olduğu konusunda uyardı.
Privateloader kötü amaçlı yazılım dağıtım hizmeti aracılığıyla dağıtılması, yazarları büyük ölçekli dağıtım için hazır olduğu düşünüldüğü için bu gücü yansıtır.
Privateloader PPI hizmeti ilk olarak bir yıl önce tespit edildi ve Şubat 2022'de Intel471 tarafından analiz edildi. Kısacası, Torrent sitelerine yüklenen SEO zehirlenmesine ve bağcıklı dosyalara dayanan kötü amaçlı bir dağıtım platformudur.
Rakun stealer, Redline, Smokeloader, Vidar, Mars Stealer, Trickbot, Danabot, Remcos ve diğer çeşitli kötü amaçlı yazılım suşları dahil olmak üzere çok çeşitli kötü amaçlı yazılımların dağıtılması gözlenmiştir.
Trendmicro analistleri, son işlemlerde kurbanın makinesine bırakıldıktan sonra Netdooka'nın enfeksiyon zincirinin kontrolünü ele geçirdiğini fark etti.
İlk olarak, bir yükleyici şifre çözülür ve yürütülür, Windows Kayıt Defteri'ni kaldırılacak veya devre dışı bırakılacak antivirüs araçlarının varlığı için kontrol eder.
Daha sonra, sıçan bileşeni için çekirdek modu koruması olarak hareket etmek için kötü niyetli bir sürücü seti kurulur ve yükün silinmesini veya işlemlerinin sona ermesini önler.
Son olarak, çerçeve nihai yük olan netdooka sıçanını getirmek için C2'ye bir iletişim bağlantısı oluşturur. Trend Micro, bazı durumlarda Privateloader'ın sıçanı doğrudan düşürdüğünü not eder.
Normal çalışma moduna girmeden önce, NetDooka Rat bir analiz ortamında çalışıp çalışmadığını ve kendisinin bir kopyasının zaten sistemde olup olmadığını kontrol eder.
Sıçan, TCP aracılığıyla komutlar alır ve dosya eylemleri gerçekleştirme, tuş vuruşları kaydetme, kabuk komutları yürütme, ana bilgisayarın DDOS saldırıları için kaynakları kullanma veya uzak masaüstü işlemleri gerçekleştirme gibi bir dizi işlevi destekler.
Desteklenen işlevlerin tam listesi aşağıda verilmiştir:
C2 ve NetDooka Rat arasındaki iletişim, özel bir protokole dayanır ve değiştirilen paketler aşağıdaki biçime benzemektedir:
Netdooka erken bir geliştirme aşamasında olduğundan, yukarıdakilerden herhangi biri yakında değişebilir ve farklı işlev setlerine özel olan varyantlar vardır.
Şu anda, tehdit aktörlerinin kısa vadeli kalıcılık oluşturmak ve bilgi çalma ve casusluk operasyonlarını gerçekleştirmek için kullanabileceği bir araçtır.
Bununla birlikte, kötü amaçlı yazılım çerçevesinin bir parçası olarak bir yükleyiciyi içerdiğinden, kendi sıçan bileşeninin yanı sıra diğer kötü amaçlı yazılım suşlarını getirebilir.
Sıçan kötü amaçlı yazılım sunmak için kullanılan kötü amaçlı microsoft excel eklentileri
Bilgisayar korsanları, Hint Govt çalışanlarına karşı değiştirilmiş MFA aracı kullanıyor
Bitrat kötü amaçlı yazılım şimdi Windows 10 Lisans Aktivatörü olarak yayılıyor
GH0Stcringe Kötü Yazılımından Güvensiz Microsoft SQL, MySQL Sunucuları
Dolandırıcılar ve kötü amaçlı yazılımlar tarafından hedeflenen popüler NFT Marketplace nadirdir
Kaynak: Bleeping Computer