NetDooka恶意软件框架利用PrivateLoader恶意程序进行分发

《趋势科技》2022年5月5日报道，NetDooka恶意软件框架利用PrivateLoader恶意加载器程序作为其传播感染的“中间件”，通过按安装次数付费（pay-per-install，PPI）模式进行分发。NetDooka中包含加载程序、释放程序、保护驱动程序和具备多种网络通信协议的木马程序，具有远程执行命令、收集并窃取重要数据等功能。PrivateLoader恶意程序作为下载器，负责将SmokeLoader、RedLine和Anubis等多个恶意程序下载并安装到受感染的系统中，并根据恶意程序的安装次数收取费用。受害者下载PrivateLoader后，首先安装NetDooka，然后加载程序检查自身是否在虚拟环境中运行，然后从远程服务器下载用于解密和执行最终有效载荷的恶意程序释放组件。该组件具有收集浏览器信息、系统信息、屏幕截图以及启动远程shell等功能。该程序还可通过远程命令参数卸载受感染设备中的安全防护软件。