首页 > 安全 > 正文

NetDooka框架通过按下付费(PPI)恶意软件服务分发

最后更新 :2022.05.06

研究人员发现了一个复杂的恶意软件框架,称为NetDooka,该框架是通过按下付费(PPI)恶意软件服务分发的,称为PrivateLoadeer。

趋势微型研究人员发现了通过一个由精致的恶意软件框架进行的,该恶意软件通过了Netdooka的分布一个称为PrivateLoader的付费按安装(PPI)服务,包括多个组件,包括装载机,滴管,保护驱动程序和一个功能齐全的远程访问Trojan(RAT),可实现其用于C2 Communication的协议。

PrivateLoader恶意软件是威胁参与者使用的下载器,用于下载和安装多个恶意软件。通过PPI服务分发的一些恶意软件系列包括吸烟者,红线和Anubis。

netdooka

攻击链在用户下载privateLoadeer时,通常通过盗版软件,然后安装了Netdooka恶意软件,以充当附加com的滴管PONENTS。

研究人员指出,该框架仍在开发中。

加载程序执行一组检查以避免在虚拟环境中执行,它也可能安装一个内核驱动程序以备将来使用。

执行后,加载程序将DEOBFUSCATE Strings,例如命令和控制(C& c)服务器地址,并检查传递的命令行参数。该恶意软件接受多个参数,表明应采取什么行动。阅读趋势微观发布的报告。该恶意软件使用称为“ detectav()”的函数来确定安装在系统上的防病毒解决方案并卸载它。

- END -

看更多