برنامج ضار DarkWatchman
DarkWatchman هو حصان طروادة جديد للوصول عن بعد (RAT) يعتمد على JavaScript وينتشر من خلال حملة هندسة اجتماعية قوية. تستخدم هذه البرامج الضارة تقنيات معينة "بدون ملفات" تتجنب من خلالها الكشف والتحليل. أيضًا ، يستخدم خوارزمية إنشاء المجال المرنة (DGA) لتحديد البنية التحتية للقيادة والتحكم ، مع تجاوز معظم حلول مكافحة البرامج الضارة باستخدام سجل Windows لجميع عمليات التخزين المؤقتة والدائمة تقريبًا لعمليات التهديد. لا يكتب DarkWatchman أي شيء على قرص الكمبيوتر المصاب ، وبالتالي يظل غير قابل للاكتشاف للعديد من الماسحات الضوئية الأمنية.
بالإضافة إلى مكون JavaScript RAT ، يحتوي البرنامج الضار الجديد أيضًا على برنامج keylogger يستند إلى C #. يتم تخزين مكون keylogger الخاص بالبرامج الضارة في السجل لتجنب الكشف ، حيث يكون كلا المكونين خفيفي الوزن للغاية. بمجرد التثبيت ، يمكن لـ DarkWatchman تنفيذ مجموعة واسعة من العمليات ، مثل تشغيل ثنائيات عشوائية ، وتحميل ملفات DLL ، وتشغيل كود JavaScript وأوامر PowerShell. يمكنه حتى إلغاء تثبيت RAT و keylogger من الجهاز المخترق كلما لزم الأمر.
يتم توزيع DarkWatchman من خلال رسائل البريد الإلكتروني العشوائية المتخفية في شكل "إشعار انتهاء صلاحية التخزين المجاني" لشركة شحن روسية. يتم إرفاق فاتورة مزعومة في شكل أرشيف مضغوط برسائل البريد الإلكتروني ، ويحتوي هذا المرفق على الحمولة الضارة التي تصيب النظامبعد ذلك. بمجرد التثبيت ، يوفر RAT بوابة للإصابات الإضافية ، ويمكن حتى استخدامه كمقدمة لعمليات نشر برامج الفدية.
لا يزال منشئ DarkWatchman غير معروف حتى الآن. ومع ذلك ، هناك أدلة على أن ممثل التهديد المسؤول عن ظهوره ليس متحدثًا باللغة الإنجليزية (أخطاء مطبعية ، ضحايا موجودون في روسيا وما إلى ذلك). أحد الضحايا المعروفين هو منظمة كبيرة مقرها روسيا.
