Ein Pay-per-Install (PPI) Malware-Dienst namens PrivateLoader wurde entdeckt, der ein „ziemlich ausgeklügeltes“ Framework namens NetDooka verteilt, das Angreifern die vollständige Kontrolle über die infizierten Geräte gibt.
„Das Framework wird über einen Pay-per-Install (PPI) Dienst verbreitet und enthält mehrere Teile, darunter einen Loader, einen Dropper, einen Schutztreiber und einen vollwertigen Remote Access Trojan (RAT), der sein eigenes Netzwerkkommunikationsprotokoll implementiert“, so Trend Micro in einem am Donnerstag veröffentlichten Bericht.
Der PrivateLoader, der im Februar 2022 von Intel 471 dokumentiert wurde, fungiert als Downloader, der zusätzliche Malware auf das infizierte System herunterlädt und installiert, darunter SmokeLoader, RedLine Stealer, Vidar, Raccoon, GCleaner und Anubis.
PrivateLoader ist in der Programmiersprache C++ geschrieben und soll sich in aktiver Entwicklung befinden, wobei die Downloader-Malware-Familie bei verschiedenen Bedrohungsakteuren immer mehr an Bedeutung gewinnt.
PrivateLoader-Infektionen werden in der Regel über raubkopierte Software verbreitet, die von betrügerischen Websites heruntergeladen wird, die mit Hilfe von SEO-Techniken (Search Engine Optimization) an die Spitze der Suchergebnisse gebracht werden.
„PrivateLoader wird derzeit für die Verbreitung von Ransomware, Stealer, Banker und anderer Commodity-Malware verwendet“, stellte Zscaler letzte Woche fest. „Der Loader wird wahrscheinlich weiterhin mit neuen Features und Funktionen aktualisiert, um die Erkennung zu umgehen und Malware-Nutzlasten der zweiten Stufe effektiv zu verbreiten.
Das Framework, das sich noch in der Entwicklungsphase befindet, enthält verschiedene Module: einen Dropper, einen Loader, einen Treiber für den Prozess- und Dateischutz im Kernelmodus und einen Fernzugriffstrojaner, der ein spezielles Protokoll zur Kommunikation mit dem Command-and-Control-Server (C2) verwendet.
Die neu beobachteten Infektionen mit dem NetDooka-Framework beginnen damit, dass PrivateLoader als Kanal für die Bereitstellung einer Dropper-Komponente dient, die dann einen Loader entschlüsselt und ausführt, der wiederum einen anderen Dropper von einem entfernten Server abruft, um einen vollwertigen Trojaner sowie einen Kernel-Treiber zu installieren.
„Die Treiberkomponente fungiert als Schutz auf Kernel-Ebene für die RAT-Komponente“, so die Forscher Aliakbar Zahravi und Leandro Froes. „Sie versucht, das Löschen von Dateien und das Beenden von Prozessen durch die RAT-Komponente zu verhindern.
Die Hintertür mit dem Namen NetDookaRAT zeichnet sich durch ihren großen Funktionsumfang aus. Sie ermöglicht es, Befehle auf dem Zielgerät auszuführen, DDoS-Angriffe (Distributed Denial-of-Service) zu starten, auf Dateien zuzugreifen und diese zu versenden, Tastatureingaben zu protokollieren und zusätzliche Nutzdaten herunterzuladen und auszuführen.
Dies zeigt, dass NetDooka nicht nur als Einfallstor für andere Malware dienen kann, sondern auch als Waffe eingesetzt werden kann, um sensible Daten zu stehlen und ferngesteuerte Botnetze zu bilden.
„PPI-Malware-Dienste ermöglichen es Malware-Erzeugern, ihre Nutzlast einfach zu verbreiten“, so Zahravi und Froes abschließend.
„Die Verwendung eines bösartigen Treibers schafft eine große Angriffsfläche für Angreifer, die sie ausnutzen können. Gleichzeitig können sie sich Ansätze wie den Schutz von Prozessen und Dateien, die Umgehung von Antivirenprogrammen und das Verbergen der Malware oder ihrer Netzwerkkommunikation vor dem System zunutze machen.“