Rilevamento del malware NetDooka: NetDooka consente il furto di dati e il dirottamento
Indice:
Gli avversari utilizzano la piattaforma di distribuzione malware pay-per-install (PPI) PrivateLoader per diffondere un nuovo framework malware chiamato NetDooka. Questo framework completo possiede diversi componenti, come un loader, un dropper, un processo in modalità kernel, un driver di protezione dei file e un trojan di accesso remoto (RAT).
L’elemento di avvio della catena di infezione del framework NetDooka è l’installazione del malware PrivateLoader. Il servizio PPI è collegato alla distribuzione di tali varianti di malware come Remcos, Mars Stealer, RedLine Stealer, e Vidar, che possono essere installati sui sistemi infetti anche in questa campagna.
Rileva il Malware NetDooka
Utilizza la seguente regola rilasciata dal nostro esperto sviluppatore di Threat Bounty Sittikorn Sangrattanapitak per rilevare file sospetti associati al framework NetDooka:
Le rilevazioni sono disponibili per le piattaforme 21 SIEM, EDR & XDR, allineate con l’ultimo framework MITRE ATT&CK® v.10., affrontando la tattica di esecuzione con l’esecuzione da parte dell’utente come tecnica principale (T1204).
La libreria di contenuti di rilevamento di SOC Prime ospita elementi di rilevazione che possono essere integrati con oltre 25 soluzioni SIEM, EDR, e XDR. Premere il pulsante Visualizza Rilevazioni per esplorare una raccolta in continua crescita di oltre 185.000 rilevamenti a prova di futuro disponibili per i membri della piattaforma.
Unisciti a Threat Bounty, l’iniziativa di crowdsourcing di SOC Prime, per condividere la nostra dedizione a collaborare per raggiungere alti standard nei processi di cybersecurity. Gli esperti di cybersecurity sfruttano il Programma Threat Bounty per sbloccare nuove possibilità per la loro carriera nel campo.
Visualizza Rilevazioni Unisciti a Threat Bounty
Analisi del Framework NetDooka
I primi artefatti relativi al framework NetDooka sono stati descritti dal team di ricerca di TrendMicro nel rapporto di sicurezza rilasciato il 5 maggio 2022. I dati disponibili rappresentano cattive notizie poiché gli analisti di sicurezza avvertono del potenziale dannoso allarmante del framework malware NetDooka, nonostante sia ancora in fase di sviluppo.
Distribuito tramite la piattaforma di distribuzione malware PPI PrivateLoader, il malware NetDooka consente ai suoi operatori di prendere il controllo del sistema della vittima, ovvero eseguire operazioni di desktop remoto, registrare le sequenze di tasti, eseguire comandi shell, lanciare attacchi DDoS e gestire i dati della macchina. Le infezioni con PrivateLoader sono diffuse principalmente attraverso software senza licenza ottenuti da siti web illegali che sono posizionati in alto nei risultati di ricerca grazie a tattiche di avvelenamento SEO implementate. In precedenza, questa piattaforma PPI veniva utilizzata principalmente per distribuire malware di tipo stealer e banking, oltre che ransomware.
La catena di attacco NetDooka si basa su diversi componenti, già menzionati nell’articolo. Il primo payload porta un loader che elimina gli strumenti antivirus del sistema infetto. A questo punto, il loader potrebbe anche installare un driver di kernel per proteggere le operazioni del RAT nei passaggi successivi. Un’operazione riuscita culmina in un drop del payload finale, chiamato NetDookaRAT, che porta gli attori delle minacce a ottenere il controllo totale o parziale del target.
Man mano che gli attacchi si evolvono, dobbiamo adattarci. Per tenere il passo con gli hacker, il rilevamento proattivo delle minacce è fondamentale. Di fronte al massiccio aumento del numero di occorrenze di distribuzione di malware, SOC Prime sfrutta l’expertise collaborativa di oltre 23.000 professionisti della cybersecurity offrendo soluzioni tempestive ed efficienti per consentire ai team di sicurezza di rilevare le minacce in modo più facile e veloce.
