Detecção de Malware NetDooka: NetDooka Facilita Roubo de Dados e Sequestro
Índice:
Os adversários utilizam a plataforma de distribuição de malware PrivateLoader PPI (pay-per-install) para espalhar uma nova estrutura de malware chamada NetDooka. Esta abrangente framework de malware possui vários componentes, como um carregador, um dropper, um processo em modo kernel, um driver de proteção de arquivo e um trojan de acesso remoto (RAT).
O elemento inicial da cadeia de infecção do framework NetDooka é a instalação do Malware PrivateLoader. O serviço PPI está associado à distribuição de tais famílias de malware como Remcos, Mars Stealer, RedLine Stealer, e Vidar, que também podem ser introduzidos em sistemas infectados nesta campanha.
Detecte o Malware NetDooka
Utilize a seguinte regra liberada pelo nosso desenvolvedor de Threat Bounty talentoso Sittikorn Sangrattanapitak para detectar arquivos suspeitos associados ao framework NetDooka:
As detecções estão disponíveis para as 21 plataformas SIEM, EDR & XDR, alinhadas com a última versão do framework MITRE ATT&CK® v.10., abordando a tática de Execução com Execução do Usuário como a técnica principal (T1204).
A biblioteca de conteúdo de detecção da SOC Prime hospeda itens de detecção que podem ser integrados com mais de 25 soluções SIEM, EDR e XDR. Pressione o botão Ver Detecções para navegar por uma coleção em constante crescimento de mais de 185.000 detecções preparadas para o futuro, disponíveis para membros da plataforma.
Junte-se ao Threat Bounty, a iniciativa de crowdsourcing da SOC Prime, para compartilhar nossa dedicação à cooperação na obtenção de altos padrões nos processos de cibersegurança. Adeptos em cibersegurança aproveitam o Programa Threat Bounty para desbloquear novas possibilidades para suas carreiras no campo.
Ver Detecções Junte-se ao Threat Bounty
Análise do Framework NetDooka
Os primeiros artefatos relacionados ao framework NetDooka foram descritos pela equipe de pesquisa da TrendMicro no relatório de segurança lançado em 5 de maio de 2022. Os dados disponíveis são más notícias, pois o analista de segurança alerta sobre o potencial malicioso alarmante do framework de malware NetDooka, apesar de ainda estar em fase de desenvolvimento.
Distribuído via uma plataforma de distribuição de malware PrivateLoader PPI, o malware NetDooka permite que seus operadores assumam o controle do sistema da vítima, por exemplo, executem operações de desktop remoto, registro de teclas, comandos de shell, lancem ataques DDoS e gerenciem os dados da máquina. As infecções com PrivateLoader são espalhadas principalmente através de software não licenciado obtido de sites ilegais que são altamente classificados nos resultados de busca por meio de táticas de envenenamento de SEO implementadas. Anteriormente, esta plataforma PPI era principalmente utilizada para entregar malwares de roubo e bancários, assim como ransomware.
A cadeia de ataque NetDooka depende de vários componentes, já mencionados no artigo. O primeiro payload traz um carregador que desativa as ferramentas antivírus do sistema infectado. Neste ponto, o carregador também pode instalar um driver de kernel para proteger as operações do RAT nos próximos passos. Uma operação bem-sucedida culmina na liberação de um payload final, chamado NetDookaRAT que leva os atores da ameaça a ganharem controle total ou parcial do alvo.
À medida que os hacks evoluem, devemos nos adaptar. Para se manter à frente dos hackers, a detecção proativa de ameaças é primordial. Diante do enorme aumento no número de ocorrências de distribuição de malware, a SOC Prime aproveita a expertise colaborativa de mais de 23.000 profissionais de cibersegurança, oferecendo soluções oportunas e eficientes para permitir que as equipes de segurança detectem ameaças de maneira mais fácil e rápida.
