Hackers gebruiken PrivateLoader PPI-service om nieuwe NetDooka-malware te verspreiden

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware Nachrichten

Een pay-per-install (PPI) malwareservice, bekend als PrivateLoader, is gespot met het verspreiden van een „redelijk geavanceerd“ framework genaamd NetDooka, dat aanvallers volledige controle geeft over de geïnfecteerde apparaten.

„Het framework wordt gedistribueerd via een pay-per-install (PPI)-service en bevat meerdere onderdelen, waaronder een loader, een dropper, een beschermingsstuurprogramma en een volledig uitgeruste Remote Access Trojan (RAT) die zijn eigen netwerkcommunicatieprotocol implementeert. , „Trend Micro“ zei in een donderdag gepubliceerd rapport.

PrivateLoader, zoals gedocumenteerd door Intel 471 in februari 2022, functioneert als een downloader die verantwoordelijk is voor het downloaden en installeren van aanvullende malware op het geïnfecteerde systeem, waaronder SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner en Anubis.

PrivateLoader is voorzien van anti-analysetechnieken en is geschreven in de programmeertaal C++. Er wordt gezegd dat het in actieve ontwikkeling is, waarbij de downloader-malwarefamilie aan populariteit wint bij meerdere bedreigingsactoren.

PrivateLoader-infecties worden meestal verspreid via illegale software die is gedownload van frauduleuze websites die naar de top van de zoekresultaten worden gepusht via technieken voor vergiftiging door zoekmachineoptimalisatie (SEO).

„PrivateLoader wordt momenteel gebruikt om ransomware, stealer, bankier en andere standaardmalware te verspreiden,“ Zscaler dat is genoteerd vorige week. „De loader zal waarschijnlijk blijven worden bijgewerkt met nieuwe functies en functionaliteit om detectie te omzeilen en effectief malware-payloads van de tweede fase te leveren.“

Het framework, dat zich nog in de ontwikkelingsfase bevindt, bevat verschillende modules: een dropper, een loader, een kernelmodusproces en stuurprogramma voor bestandsbeveiliging, en een trojan voor externe toegang die een aangepast protocol gebruikt om te communiceren met de command-and-control (C2 ) server.

De nieuw waargenomen reeks infecties waarbij het NetDooka-framework betrokken is, begint met PrivateLoader die fungeert als een kanaal om een ​​dropper-component te implementeren, die vervolgens een loader decodeert en uitvoert die op zijn beurt een andere dropper ophaalt van een externe server om een ​​volledig uitgeruste trojan te installeren als evenals een kernelstuurprogramma.

„De drivercomponent fungeert als een bescherming op kernelniveau voor de RAT-component“, aldus onderzoekers Aliakbar Zahravi en Leandro Froes. „Het doet dit door te proberen de bestandsverwijdering en procesbeëindiging van de RAT-component te voorkomen.“

De achterdeur, NetDookaRAT genaamd, valt op door zijn uitgebreide functionaliteit, waardoor het commando’s op het apparaat van het doelwit kan uitvoeren, gedistribueerde denial-of-service (DDoS)-aanvallen kan uitvoeren, bestanden kan openen en verzenden, toetsaanslagen kan loggen en extra kan downloaden en uitvoeren. ladingen.

Dit geeft aan dat de mogelijkheden van NetDooka het niet alleen in staat stellen om als toegangspunt voor andere malware te fungeren, maar ook als wapen kunnen worden gebruikt om gevoelige informatie te stelen en op afstand bestuurde botnets te vormen.

„PPI-malwareservices stellen makers van malware in staat om hun payloads gemakkelijk in te zetten“, concluderen Zahravi en Froes.

„Het gebruik van een kwaadaardig stuurprogramma creëert een groot aanvalsoppervlak voor aanvallers om te misbruiken, terwijl het hen ook in staat stelt te profiteren van benaderingen zoals het beschermen van processen en bestanden, het omzeilen van antivirusprogramma’s en het verbergen van de malware of zijn netwerkcommunicatie voor het systeem.“

David
Rate author
Hackarizona