هاكرز يستخدمون PRIVATELOADER لنشر برمجيات NetDooka الجديدة
يتم توزيع الإطار من خلال خدمة الدفع (PPI) ويحتوي على أجزاء متعددة ، بما في ذلك اللودر ، وقطارة ، وبرنامج حماية ، و Accouse Access بالكامل (RAT) الذي ينفذ بروتوكول اتصالات الشبكة الخاص به ،" Trend Micro. قال في تقرير نشر الخميس.
متابعات-ميكسي نيوز
PRIVATELOADER….تم رصد خدمة خبيثة الدفع (PPI) المعروفة باسم Privateloader لتوزيع إطار عمل “متطور إلى حد ما” يسمى NetDooka ، مما يمنح المهاجمين السيطرة الكاملة على الأجهزة المصابة.
“يتم توزيع الإطار من خلال خدمة الدفع (PPI) ويحتوي على أجزاء متعددة ، بما في ذلك اللودر ، وقطارة ، وبرنامج حماية ، و Accouse Access بالكامل (RAT) الذي ينفذ بروتوكول اتصالات الشبكة الخاص به ،” Trend Micro. قال في تقرير نشر الخميس.
تعمل Privateloader ، كما وثقها Intel 471 في فبراير 2022 ، كموظف تنزيل مسؤول عن تنزيل وتثبيت البرامج الضارة الإضافية على النظام المصاب ، بما في ذلك Smokeloader و Redline Stealer و Vidar و Raccoon و Gcleaner ، و أنوبيس.
يضم Privateloader تقنيات مكافحة التحليل ، ويتم كتابة Privateloader بلغة برمجة C ++ ويقال إنها في تطوير نشط ، حيث اكتسبت عائلة البرامج الضارة للتنزيل الجر بين ممثلين متعددة للتهديدات.
عادة ما يتم نشر التهابات privateloader من خلال البرامج المقرصنة التي تم تنزيلها من مواقع الويب المارقة التي يتم دفعها إلى أعلى نتائج البحث عبر تقنيات التسمم بمحرك البحث (SEO).
“تم استخدام Privateloader حاليًا لتوزيع برامج Ransomware و Stealer و Banker وغيرها من البرامج الضارة للسلع الأساسية ،” Zscaler ذُكر الأسبوع الماضي. “من المحتمل أن يستمر التحديث في المحمل بميزات ووظائف جديدة للتهرب من الكشف وتقديم حمولة برامج ضارة من المرحلة الثانية بشكل فعال.”
يحتوي إطار عمل NetDooka ، الذي لا يزال في مرحلة التطوير الخاصة به ، على وحدات مختلفة: قطارة ، محمل ، وعملية وضع kernel وبرنامج حماية الملفات ، وبرنامج طروادة وصول عن بُعد يستخدم بروتوكولًا مخصصًا للتواصل مع خادم الأوامر والسيطرة (C2).
تبدأ المجموعة التي تمت ملاحظتها حديثًا من الالتهابات التي تنطوي على إطار البرامج الضارة مع عمل privateloader كقناة لنشر مكون قطارة ، والذي يقوم بعد ذلك بفك تشفير وينفذ محملًا ، بدوره ، يعيد تدوير قطرة أخرى من خادم عن بعد لتثبيت طروادة كاملية مثبتة وكذلك سائق kernel.
وقال الباحثون علياكبار زهرافي وليندرو فريز: “يعمل مكون السائق كحماية على مستوى النواة لمكون الفئران”. “يفعل ذلك من خلال محاولة منع حذف الملف وإنهاء عملية مكون الفئران.”
إن Backdoor ، الذي يطلق عليه NetDookarat ، ملحوظ في اتساع وظائفه ، مما يتيح له تشغيل الأوامر على جهاز الهدف ، وتنفيذ هجمات رفض الخدمة الموزعة (DDOS) ، والوصول إلى الملفات وإرسالها ، وتسجيل المفاتيح ، وتنزيل حمولة إضافية.
يشير هذا إلى أن قدرات NetDooka لا تسمح لها فقط بالعمل كنقطة دخول للبرامج الضارة الأخرى ، ولكن يمكن أيضًا أن يتم سلاحها لسرقة المعلومات الحساسة وتشكيل روبوتات يتم التحكم فيها عن بُعد.
وخلص زهرافي و Froes إلى أن “PPI Malware Services تتيح لمبدلي البرامج الضارة نشر حمولاتهم بسهولة”.
“إن استخدام سائق ضار يخلق سطحًا كبيرًا للهجوم للمهاجمين لاستغلاله ، مع السماح لهم أيضًا بالاستفادة من الأساليب مثل حماية العمليات والملفات ، وتجاوز برامج مكافحة الفيروسات ، وإخفاء البرامج الضارة أو اتصالات الشبكة من النظام.”
