Détection du Malware NetDooka : NetDooka Permet le Vol de Données et le Détournement
Table des matières :
Les adversaires utilisent la plateforme de distribution de logiciels malveillants à paiement par installation (PPI) PrivateLoader pour propager un nouveau cadre de logiciels malveillants appelé NetDooka. Ce cadre complet de logiciels malveillants possède plusieurs composants, tels qu’un chargeur, un déposeur, un processus en mode noyau, un pilote de protection de fichier et un cheval de Troie d’accès à distance (RAT).
L’élément déclencheur de la chaîne d’infection du cadre NetDooka est l’installation du Malware PrivateLoader. Le service PPI est lié à la distribution de souches de logiciels malveillants telles que Remcos, Mars Stealer, RedLine Stealer, et Vidar, qui peuvent également être déposées sur des systèmes infectés dans cette campagne.
Détecter le Malware NetDooka
Utilisez la règle suivante publiée par notre développeur de Threat Bounty expert Sittikorn Sangrattanapitak pour détecter les fichiers suspects associés au cadre NetDooka :
Les détections sont disponibles pour les 21 plateformes SIEM, EDR et XDR, alignées avec la dernière version du cadre MITRE ATT&CK® v.10., abordant la tactique d’exécution avec l’exécution utilisateur en tant que technique principale (T1204).
La bibliothèque de contenu de détection de SOC Prime héberge des éléments de détection pouvant être intégrés à plus de 25 solutions SIEM, EDR et XDR. Appuyez sur le bouton Voir les détections pour parcourir une collection en constante expansion de plus de 185 000 détections à l’épreuve du temps, disponibles pour les membres de la plateforme.
Rejoignez Threat Bounty, l’initiative de crowdsourcing de SOC Prime, pour partager notre engagement à coopérer à l’atteinte de normes élevées de processus de cybersécurité. Les experts en cybersécurité exploitent le programme Threat Bounty pour ouvrir de nouvelles possibilités pour leur carrière dans le domaine.
Voir les détections Rejoindre Threat Bounty
Analyse du cadre NetDooka
Les premiers artefacts liés au cadre NetDooka ont été décrits par l’équipe de recherche de TrendMicro dans le rapport de sécurité publié le 05 mai 2022. Les données disponibles sont une mauvaise nouvelle car l’analyste de sécurité alerte sur le potentiel malveillant alarmant du cadre de logiciels malveillants NetDooka, malgré le fait qu’il soit encore en phase de développement.
Distribué via une plateforme de distribution de logiciels malveillants PPI PrivateLoader, le malware NetDooka permet à ses opérateurs de prendre le contrôle du système de la victime, c’est-à-dire d’effectuer des opérations de bureau à distance, de journaliser les frappes clavier, d’exécuter des commandes shell, de lancer des attaques DDoS et de gérer les données de la machine. Les infections avec PrivateLoader se propagent principalement par le biais de logiciels non licenciés obtenus à partir de sites Web illégaux qui sont classés haut dans les résultats de recherche grâce à des tactiques d’empoisonnement SEO. Auparavant, cette plateforme PPI était principalement exploitée pour livrer des logiciels malveillants de vol et bancaires, ainsi que des ransomwares.
La chaîne d’attaque NetDooka repose sur plusieurs composants, déjà mentionnés dans l’article. La première charge utile apporte un chargeur qui tue les outils antivirus du système infecté. À ce stade, le chargeur peut également installer un pilote de noyau pour protéger les opérations du RAT dans les étapes suivantes. Une opération réussie se termine par le dépôt d’une charge utile finale, appelée NetDookaRAT, qui conduit les acteurs malveillants à obtenir un contrôle total ou partiel de la cible.
Au fur et à mesure que les piratages évoluent, nous devons nous adapter. Pour suivre le rythme des hackers, la détection proactive des menaces est primordiale. Face à l’explosion massive du nombre d’occurrences de distribution de logiciels malveillants, SOC Prime exploite l’expertise collaborative de plus de 23 000 professionnels de la cybersécurité offrant des solutions opportunes et efficaces pour permettre aux équipes de sécurité de détecter les menaces plus facilement et plus rapidement.
