黑客使用PrivateLoader PPI服务分发新的NetDooka恶意软件

据发现，一个名为PrivateLoader的付费安装（PPI）恶意软件服务发布了一个名为NetDooka的“相当复杂”的框架，允许攻击者完全控制受感染的设备。

Trend Micro在周四发布的一份报告中表示：“该框架通过付费安装（PPI）服务分发，包含多个部分，包括加载程序、滴管、保护驱动程序和功能齐全的远程访问特洛伊木马（RAT），该木马实现了自己的网络通信协议”。

Intel 471于2022年2月记录的PrivateLoader是一个下载程序，负责在受感染的系统上下载并安装其他恶意软件，包括SmokeLoader、RedLine Stealer、Vidar、Raccoon、GCleaner和Anubis。

PrivateLoader以反分析技术为特色，是用C++编程语言编写的，据说正在积极开发中，downloader恶意软件家族在多个威胁参与者中获得了吸引力。

PrivateLoader感染通常通过从流氓网站下载的盗版软件传播，这些软件通过搜索引擎优化（SEO）中毒技术推到搜索结果的顶部。

“PrivateLoader目前被用于分发勒索软件、盗窃者、银行家和其他商品恶意软件，”Zscaler上周指出。“加载程序可能会继续更新新的功能和特性，以逃避检测并有效地提供第二阶段恶意软件有效载荷”。

该框架仍处于开发阶段，包含不同的模块：滴管、加载程序、内核模式进程和文件保护驱动程序，以及使用自定义协议与指挥与控制（C2）服务器通信的远程访问特洛伊木马。

最新观察到的一组涉及NetDooka框架的感染始于PrivateLoader，它充当部署滴管组件的管道，然后解密并执行一个加载程序，然后从远程服务器检索另一个滴管，以安装全功能特洛伊木马和内核驱动程序。

研究人员Aliakbar Zahravi和Leandro Froes说：“驱动程序组件充当RAT组件的内核级保护。”“它通过尝试阻止RAT组件的文件删除和进程终止来实现此目的”。

该后门被称为NetDookaRAT，以其广泛的功能而著称，使其能够在目标设备上运行命令、执行分布式拒绝服务（DDoS）攻击、访问和发送文件、记录击键以及下载和执行其他有效负载。

这表明NetDooka的功能不仅允许它充当其他恶意软件的入口点，还可以将其武器化以窃取敏感信息并形成远程控制的僵尸网络。

Zahravi和Froes总结道：“PPI恶意软件服务允许恶意软件创建者轻松部署其有效载荷”。

“恶意驱动程序的使用为攻击者创造了一个可利用的巨大攻击面，同时也允许他们利用各种方法，如保护进程和文件、绕过防病毒程序以及对系统隐藏恶意软件或其网络通信”。