Layanan malware bayar-per-instal (PPI) yang dikenal sebagai PrivateLoader telah terlihat mendistribusikan kerangka kerja “yang cukup canggih” yang disebut NetDooka, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.
Kerangka kerja ini didistribusikan melalui layanan bayar-per-instal (PPI) dan berisi beberapa bagian, termasuk loader, dropper, driver perlindungan, dan trojan akses jarak jauh (RAT) berfitur lengkap yang mengimplementasikan protokol komunikasi jaringannya sendiri. ,” kata Trend Micro dalam laporan yang diterbitkan Kamis.
PrivateLoader, seperti yang didokumentasikan oleh Intel 471 pada Februari 2022, berfungsi sebagai pengunduh yang bertanggung jawab untuk mengunduh dan memasang malware tambahan ke sistem yang terinfeksi, termasuk SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner, dan Anubis.
Menampilkan teknik anti-analisis, PrivateLoader ditulis dalam bahasa pemrograman C++ dan dikatakan dalam pengembangan aktif, dengan keluarga malware pengunduh mendapatkan daya tarik di antara beberapa pelaku ancaman.
Infeksi PrivateLoader biasanya disebarkan melalui perangkat lunak bajakan yang diunduh dari situs web jahat yang didorong ke bagian atas hasil pencarian melalui teknik keracunan optimasi mesin pencari (SEO).
“PrivateLoader saat ini digunakan untuk mendistribusikan ransomware, pencuri, bankir, dan malware komoditas lainnya,” Zscaler mencatat minggu lalu. “Pemuat kemungkinan akan terus diperbarui dengan fitur dan fungsi baru untuk menghindari deteksi dan secara efektif mengirimkan muatan malware tahap kedua.”
Kerangka kerja, masih dalam tahap pengembangan, berisi modul yang berbeda: penetes, pemuat, proses mode kernel dan driver perlindungan file, dan trojan akses jarak jauh yang menggunakan protokol khusus untuk berkomunikasi dengan perintah-dan-kontrol (C2 ) server.
Serangkaian infeksi yang baru diamati yang melibatkan kerangka NetDooka dimulai dengan PrivateLoader bertindak sebagai saluran untuk menyebarkan komponen penetes, yang kemudian mendekripsi dan mengeksekusi pemuat yang, pada gilirannya, mengambil penetes lain dari server jauh untuk menginstal trojan berfitur lengkap sebagai serta driver kernel.
“Komponen driver bertindak sebagai perlindungan tingkat kernel untuk komponen RAT,” kata peneliti Aliakbar Zahravi dan Leandro Froes. “Ini dilakukan dengan mencoba mencegah penghapusan file dan penghentian proses komponen RAT.”
Pintu belakang, dijuluki NetDookaRAT, terkenal karena fungsionalitasnya yang luas, memungkinkannya menjalankan perintah pada perangkat target, melakukan serangan penolakan layanan (DDoS), mengakses dan mengirim file, mencatat penekanan tombol, dan mengunduh dan mengeksekusi tambahan muatan.
Ini menunjukkan bahwa kemampuan NetDooka tidak hanya memungkinkannya untuk bertindak sebagai titik masuk bagi malware lain, tetapi juga dapat dijadikan senjata untuk mencuri informasi sensitif dan membentuk botnet yang dikendalikan dari jarak jauh.
“Layanan malware PPI memungkinkan pembuat malware untuk menyebarkan muatan mereka dengan mudah,” Zahravi dan Froes menyimpulkan.
“Penggunaan driver berbahaya menciptakan permukaan serangan yang besar bagi penyerang untuk dieksploitasi, sementara juga memungkinkan mereka untuk mengambil keuntungan dari pendekatan seperti melindungi proses dan file, melewati program antivirus, dan menyembunyikan malware atau komunikasi jaringannya dari sistem.”