Les pirates utilisent le service PrivateLoader PPI pour distribuer de nouveaux logiciels malveillants NetDooka

Hackers Using PrivateLoader PPI Service to Distribute New NetDooka Malware Des nouvelles

Un service de malware pay-per-install (PPI) connu sous le nom de PrivateLoader a été repéré distribuant un framework « assez sophistiqué » appelé NetDooka, accordant aux attaquants un contrôle total sur les appareils infectés.

« Le framework est distribué via un service de paiement par installation (PPI) et contient plusieurs parties, notamment un chargeur, un dropper, un pilote de protection et un cheval de Troie d’accès à distance (RAT) complet qui implémente son propre protocole de communication réseau. « , Trend Micro mentionné dans un rapport publié jeudi.

PrivateLoader, tel que documenté par Intel 471 en février 2022, fonctionne comme un téléchargeur responsable du téléchargement et de l’installation de logiciels malveillants supplémentaires sur le système infecté, notamment SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner et Anubis.

Doté de techniques d’anti-analyse, PrivateLoader est écrit dans le langage de programmation C++ et serait en cours de développement actif, la famille des logiciels malveillants de téléchargement gagnant du terrain parmi plusieurs acteurs de la menace.

Les infections de PrivateLoader se propagent généralement par le biais de logiciels piratés téléchargés à partir de sites Web malveillants qui sont poussés en haut des résultats de recherche via des techniques d’empoisonnement de l’optimisation des moteurs de recherche (SEO).

« PrivateLoader est actuellement utilisé pour distribuer des ransomwares, des voleurs, des banquiers et d’autres logiciels malveillants de base », Zscaler c’est noté La semaine dernière. « Le chargeur continuera probablement à être mis à jour avec de nouvelles fonctionnalités pour échapper à la détection et fournir efficacement des charges utiles de logiciels malveillants de deuxième étape. »

Le framework, encore en phase de développement, contient différents modules : un dropper, un loader, un processus en mode noyau et un pilote de protection de fichiers, et un cheval de Troie d’accès à distance qui utilise un protocole personnalisé pour communiquer avec le command-and-control (C2 ) serveur.

L’ensemble d’infections nouvellement observé impliquant le framework NetDooka commence par PrivateLoader agissant comme un conduit pour déployer un composant dropper, qui décrypte et exécute ensuite un chargeur qui, à son tour, récupère un autre dropper à partir d’un serveur distant pour installer un cheval de Troie complet comme ainsi qu’un pilote de noyau.

« Le composant du pilote agit comme une protection au niveau du noyau pour le composant RAT », ont déclaré les chercheurs Aliakbar Zahravi et Leandro Froes. « Il le fait en essayant d’empêcher la suppression du fichier et l’arrêt du processus du composant RAT. »

La porte dérobée, baptisée NetDookaRAT, se distingue par l’étendue de ses fonctionnalités, lui permettant d’exécuter des commandes sur l’appareil de la cible, d’effectuer des attaques par déni de service distribué (DDoS), d’accéder et d’envoyer des fichiers, de consigner les frappes au clavier, de télécharger et d’exécuter d’autres charges utiles.

Cela indique que les capacités de NetDooka lui permettent non seulement d’agir comme un point d’entrée pour d’autres logiciels malveillants, mais peuvent également être transformés en armes pour voler des informations sensibles et former des botnets télécommandés.

« Les services de logiciels malveillants PPI permettent aux créateurs de logiciels malveillants de déployer facilement leurs charges utiles », ont conclu Zahravi et Froes.

« L’utilisation d’un pilote malveillant crée une grande surface d’attaque que les attaquants peuvent exploiter, tout en leur permettant de tirer parti d’approches telles que la protection des processus et des fichiers, le contournement des programmes antivirus et le masquage du logiciel malveillant ou de ses communications réseau du système ».

David
Rate author
Hackarizona