NetDooka Olarak Adlandırılan Gelişmiş Kötü Amaçlı Yazılım, Yükleme Başına Ödeme Hizmetinin Bir Parçası Olarak Teslim Edildi

Yükleme başına ödeme (PPI) kötü amaçlı yazılım hizmeti olan PrivateLoader, "NetDooka" olarak adlandırılan yeni ve sofistike bir kötü amaçlı yazılım çerçevesini dolaşarak lekelendi. Bunun gibi kötü amaçlı yazılımlar, saldırganlara virüs bulaştırdıkları cihazlar üzerinde tam kontrol sağlama yeteneğine sahiptir.

NetDooka, aşağıdakiler de dahil olmak üzere birden fazla parça içerir:

• Loader
• Dropper
• Protection driver
• RAT

Kötü amaçlı yazılım biçimindeki çeşitli kötü amaçlı yazılımlar, PrivateLoader tarafından etkilenen sistemlere indirilir ve yüklenir:

• SmokeLoader
• RedLine Stealer
• Vidar
• Raccoon
• GCleaner
• Anubis

İşte Trend Micro'dan Aliakbar Zahravi ve Leandro Froes'un söyledikleri:

"Kötü amaçlı bir sürücünün kullanılması, saldırganların yararlanması için geniş bir saldırı yüzeyi oluştururken, aynı zamanda işlemleri ve dosyaları korumak, virüsten koruma programlarını atlamak ve kötü amaçlı yazılımı veya ağ iletişimlerini sistemden gizlemek gibi yaklaşımlardan yararlanmalarını sağlar."

C++ programlama dilinde yazılmış olan PrivateLoader, onu daha sofistike hale getiren analiz karşıtı teknikler kullanan gerçek zamanlı bir uygulamadır.

Şu anda, indirici kötü amaçlı yazılım ailesi, bir dizi farklı tehdit aktörü arasında geniş bir çekiş kazanmıştır ve şu anda aktif olarak geliştirilmektedir.

Saldırıya Genel Bakış

Kullanıcılara, korsan yazılım indirmeleri yoluyla PrivateLoader'ın yanlışlıkla indirilmesi yoluyla virüs bulaşır. Yüklendikten sonra, NetDooka kötü amaçlı yazılımı yüklenir, şifreleme devre dışı bırakılır ve ardından yükleyici bileşeni yürütülür.

Ardından, yükleyicinin sanal bir ortamda çalışmadığından emin olmak için belirli kontroller gerçekleştirilir ve uzak sunucudan kötü amaçlı bir program indirilir.

Kötü amaçlı yazılım tarafından yürütülen yükleyicinin bir başka öğesi de damlalık bileşenidir. Çeşitli özellikler içeren tamamen işlevsel ve güçlü bir RAT olan son yükün şifresini çözmek ve yürütmek damlalığın sorumluluğundadır.

İlk Enfeksiyon Vektörü

PrivateLoader'ın ilk enfeksiyon vektörü olduğu için öncelikle korsan yazılım indirmeleri yoluyla dağıtılır. NetDooka kötü amaçlı yazılımını yükleme sürecinde, indirici ayrıca yükleyicinin şifresini çözecek ve çalıştıracak bileşenlerden birini de yükler.

Bir antivirüs kaldırıcısını yürütmek için, yükleyici sanal bir masaüstü oluşturmanın yanı sıra bir çekirdek sürücüsü yükler. Kaldırıcı ile etkileşimde bulunmanın yanı sıra, fare ve işaretçi konumlarını taklit ederek ortamı diğer bileşenlerin yürütülmesi için hazırlar.

Yükleyici damlalığı çalıştırdıktan sonra, tam özellikli bir RAT başka bir damlalık tarafından yürütülür. Çoklu işlevlerine ek olarak, RAT ayrıca aşağıdaki yeteneklere de sahiptir:

• Uzak shell başlatma
• Tarayıcı verilerini edinme
• Ekran görüntüsü alma
• Sistem bilgilerini toplama

Bu kötü amaçlı yazılım yalnızca diğer kötü amaçlı yazılımlar için bir giriş noktası olarak hizmet etmekle kalmaz, aynı zamanda bilgisayarlardan hassas bilgileri çalabilir ve uzaktan kumandalı botnet'ler oluşturabilir.