Зловреден софтуер DarkWatchman

Зловреден софтуер DarkWatchman Описание

DarkWatchman е нов троянски кон за отдалечен достъп (RAT), базиран на JavaScript и разпространяван чрез агресивна кампания за социално инженерство. Този зловреден софтуер използва специфични „безфайлови“ техники, чрез които избягва откриване и анализ. Освен това той използва устойчив алгоритъм за генериране на домейни (DGA) за идентифициране на своята инфраструктура за командване и контрол, като същевременно заобикаля повечето решения за защита от злонамерен софтуер, като използва регистъра на Windows за почти цялото временно и постоянно съхранение на своите заплашителни операции. DarkWatchman не записва нищо на диска на заразения компютър и по този начин остава неоткриваем за много скенери за сигурност.

В допълнение към компонента JavaScript RAT, новият зловреден софтуер има и базиран на C# кейлогер. Компонентът на кейлогера на злонамерения софтуер се съхранява в системния регистър, за да се избегне откриване, при което и двата компонента са изключително леки. Веднъж инсталиран, DarkWatchman може да изпълнява широк спектър от операции, като стартиране на произволни двоични файлове, зареждане на DLL файлове, изпълнение на JavaScript код и команди на PowerShell. Може дори да деинсталира RAT и кейлогъра от компрометираната машина, когато е необходимо.

DarkWatchman се разпространява чрез спам имейли, маскирани като „известие за изтичане на безплатното съхранение“ за руска компания за доставка. Предполагаема фактура под формата на ZIP архив е прикачена към имейлите и този прикачен файл съдържа вредния полезен товар, който заразява систематавпоследствие. Веднъж инсталиран, RAT осигурява шлюз за допълнителни инфекции и дори може да се използва като прелюдия за внедряване на ransomware.

Създателят на DarkWatchman остава неизвестен засега. И все пак има улики, че заплахата, отговорна за появата му, не е роден английски (печатни грешки, жертви, намиращи се в Русия и т.н.). Една от известните жертви е голяма организация, базирана в Русия.