Se ha detectado un servicio de malware de pago por instalación (PPI) conocido como PrivateLoader que distribuye un marco «bastante sofisticado» llamado NetDooka, que otorga a los atacantes un control total sobre los dispositivos infectados.
«El marco se distribuye a través de un servicio de pago por instalación (PPI) y contiene varias partes, incluido un cargador, un cuentagotas, un controlador de protección y un troyano de acceso remoto (RAT) con todas las funciones que implementa su propio protocolo de comunicación de red. , «Trend Micro dicho en un informe publicado el jueves.
PrivateLoader, como lo documentó Intel 471 en febrero de 2022, funciona como un descargador responsable de descargar e instalar malware adicional en el sistema infectado, incluidos SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner y Anubis.
Con técnicas antianálisis, PrivateLoader está escrito en el lenguaje de programación C++ y se dice que está en desarrollo activo, con la familia de malware de descarga ganando terreno entre múltiples actores de amenazas.
Las infecciones de PrivateLoader generalmente se propagan a través de software pirateado descargado de sitios web no autorizados que se colocan en la parte superior de los resultados de búsqueda a través de técnicas de envenenamiento de optimización de motores de búsqueda (SEO).
«PrivateLoader se usa actualmente para distribuir ransomware, robo, banquero y otro malware básico», Zscaler anotado la semana pasada. «Es probable que el cargador continúe actualizándose con nuevas características y funcionalidades para evadir la detección y entregar efectivamente cargas de malware de segunda etapa».
El marco, aún en su fase de desarrollo, contiene diferentes módulos: un cuentagotas, un cargador, un controlador de protección de archivos y procesos en modo kernel, y un troyano de acceso remoto que utiliza un protocolo personalizado para comunicarse con el comando y control (C2 ) servidor.
El conjunto de infecciones recientemente observado que involucra el marco NetDooka comienza con PrivateLoader actuando como un conducto para implementar un componente cuentagotas, que luego descifra y ejecuta un cargador que, a su vez, recupera otro cuentagotas de un servidor remoto para instalar un troyano con funciones completas como así como un controlador de kernel.
«El componente del controlador actúa como una protección a nivel de kernel para el componente RAT», dijeron los investigadores Aliakbar Zahravi y Leandro Froes. «Hace esto al intentar evitar la eliminación del archivo y la finalización del proceso del componente RAT».
La puerta trasera, denominada NetDookaRAT, se destaca por su amplitud de funciones, lo que le permite ejecutar comandos en el dispositivo objetivo, llevar a cabo ataques de denegación de servicio distribuido (DDoS), acceder y enviar archivos, registrar pulsaciones de teclas y descargar y ejecutar ataques adicionales. cargas útiles
Esto indica que las capacidades de NetDooka no solo le permiten actuar como un punto de entrada para otro malware, sino que también pueden convertirse en armas para robar información confidencial y formar botnets controlados de forma remota.
«Los servicios de malware de PPI permiten a los creadores de malware implementar fácilmente sus cargas útiles», concluyeron Zahravi y Froes.
«El uso de un controlador malicioso crea una gran superficie de ataque para que los atacantes la exploten, al mismo tiempo que les permite aprovechar enfoques como la protección de procesos y archivos, eludir los programas antivirus y ocultar el malware o sus comunicaciones de red del sistema».