El nuevo malware NetDooka se propaga a través de resultados de búsqueda envenenados

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Se ha descubierto un nuevo marco de malware conocido como NetDooka que se distribuye a través del servicio de distribución de malware de pago por instalación (PPI) PrivateLoader, lo que permite a los actores de la amenaza el acceso completo a un dispositivo infectado.

Este marco de malware no documentado hasta ahora cuenta con un cargador, un dropper, un controlador de protección y un potente componente RAT que se basa en un protocolo de comunicación de red personalizado.

Las primeras muestras de NetDooka fueron descubiertas por investigadores de TrendMicro, que advierten que, aunque la herramienta está todavía en una fase temprana de desarrollo, ya es muy capaz.

El hecho de que se distribuya a través del servicio de distribución de malware PrivateLoader refleja esta potencia, ya que sus autores consideraron que el malware está listo para su despliegue a gran escala.

El servicio PPI PrivateLoader fue detectado por primera vez hace un año y analizado por Intel471 en febrero de 2022. En resumen, se trata de una plataforma de distribución de malware que se basa en el envenenamiento de SEO y en los archivos enlazados que se suben a los sitios de torrents.

Se ha observado que distribuye una gran variedad de malware, como Raccoon Stealer, Redline, Smokeloader, Vidar, Mars stealer, Trickbot, Danabot, Remcos y otras cepas de malware.

Los analistas de TrendMicro han detectado que NetDooka toma el control de la cadena de infección tras ser lanzado en la máquina de la víctima en operaciones recientes.

Dado que NetDooka se encuentra en una fase temprana de desarrollo, todo lo anterior puede cambiar pronto, y ya hay variantes circulando que presentan diferentes conjuntos de funciones.

En este momento, es una herramienta que los actores de amenazas podrían utilizar para establecer una persistencia a corto plazo y realizar operaciones de robo de información y espionaje.

Sin embargo, dado que incorpora un cargador como parte del armazón del malware, podría obtener otras cepas de malware además de su propio componente RAT.

Con información de Bleeping Computer.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *