Detección de Malware NetDooka: NetDooka Permite el Robo de Datos y Secuestro
Tabla de contenidos:
Los adversarios utilizan la plataforma de distribución de malware de pago por instalación (PPI) PrivateLoader para propagar un nuevo marco de malware denominado NetDooka. Este completo marco de malware posee varios componentes, como un cargador, un dropper, un proceso en modo kernel, un controlador de protección de archivos y un troyano de acceso remoto (RAT).
El elemento de inicio de la cadena de infección del marco NetDooka es la instalación del Malware PrivateLoader. El servicio PPI está vinculado a la distribución de cepas de malware como Remcos, Mars Stealer, RedLine Stealer, y Vidar, que también pueden ser instalados en sistemas infectados en esta campaña.
Detectar Malware NetDooka
Utiliza la siguiente regla publicada por nuestro desarrollador entusiasta de Threat Bounty Sittikorn Sangrattanapitak para detectar archivos sospechosos asociados con el marco NetDooka:
Las detecciones están disponibles para las 21 plataformas de SIEM, EDR y XDR, alineadas con la última versión del marco MITRE ATT&CK® v.10., abordando la táctica de Ejecución con Ejecución del Usuario como la técnica principal (T1204).
La biblioteca de contenido de detección de SOC Prime aloja elementos de detección que se pueden integrar con más de 25 soluciones SIEM, EDR y XDR. Presiona el botón Ver Detecciones para navegar por una colección en constante crecimiento de más de 185.000 detecciones a prueba de futuro disponibles para miembros de la plataforma.
Únete a Threat Bounty, la iniciativa de crowdsourcing de SOC Prime, para compartir nuestra dedicación para cooperar en lograr altos estándares en procesos de ciberseguridad. Los expertos en ciberseguridad aprovechan el Programa Threat Bounty para desbloquear nuevas posibilidades para su carrera en el campo.
Ver Detecciones Únete a Threat Bounty
Análisis del Marco NetDooka
Los primeros artefactos relacionados con el marco NetDooka fueron descritos por el equipo de investigación de TrendMicro en el informe de seguridad publicado el 05 de mayo de 2022. Los datos disponibles son malas noticias ya que el analista de seguridad alertan del alarmante potencial malicioso del marco de malware NetDooka a pesar de que aún está en fase de desarrollo.
Distribuido a través de una plataforma de distribución de malware PPI PrivateLoader, el malware NetDooka permite a sus operadores tomar el control del sistema de la víctima, es decir, realizar operaciones de escritorio remoto, registrar pulsaciones de teclado, ejecutar comandos de shell, lanzar ataques DDoS y gestionar datos de la máquina. Las infecciones con PrivateLoader se propagan principalmente a través de software sin licencia obtenido de sitios web ilegales que están altamente clasificados en resultados de búsqueda mediante tácticas de envenenamiento de SEO implementadas. Anteriormente, esta plataforma PPI se usaba principalmente para entregar malware de robo de información y bancario, así como ransomware.
La cadena de ataque de NetDooka se basa en varios componentes, ya mencionados en el artículo. La primera carga útil trae un cargador que desactiva las herramientas antivirus del sistema infectado. En este punto, el cargador también podría instalar un controlador del kernel para proteger las operaciones del RAT en los próximos pasos. Una operación exitosa culmina en la entrega de una carga útil final, denominada NetDookaRAT, que lleva a los actores de amenazas a obtener el control total o parcial del objetivo.
A medida que evolucionan los hacks, debemos adaptarnos. Para mantenernos al tanto de los hackers, la detección proactiva de amenazas es primordial. Ante el auge masivo del número de ocurrencias de distribución de malware, SOC Prime aprovecha la experiencia colaborativa de más de 23.000 profesionales de ciberseguridad ofreciendo soluciones oportunas y eficientes para permitir que los equipos de seguridad detecten amenazas de forma más fácil y rápida.
