Malware DarkWatchman

DarkWatchman je nový trojský kůň pro vzdálený přístup (RAT) založený na JavaScriptu a šířený prostřednictvím agresivní kampaně sociálního inženýrství. Tento malware využívá specifické „bezsouborové“ techniky, jejichž prostřednictvím se vyhýbá detekci a analýze. Také používá odolný algoritmus generování domén (DGA) pro identifikaci své infrastruktury Command-and-Control, přičemž obchází většinu antimalwarových řešení pomocí registru Windows pro téměř veškeré dočasné a trvalé ukládání svých ohrožujících operací. DarkWatchman na disk infikovaného počítače nic nezapisuje a zůstává tak pro mnohé bezpečnostní skenery neodhalitelný.

Kromě komponenty JavaScript RAT má nový malware také keylogger založený na C#. Keylogger komponenta malwaru je uložen v registru, aby se zabránilo detekci, přičemž obě komponenty jsou extrémně lehké. Po instalaci může DarkWatchman provádět širokou škálu operací, jako je spouštění libovolných binárních souborů, načítání souborů DLL, spouštění kódu JavaScript a příkazů PowerShellu. Může dokonce odinstalovat RAT a keylogger z napadeného počítače, kdykoli je to nutné.

DarkWatchman je distribuován prostřednictvím spamových e-mailů maskovaných jako „Upozornění na vypršení platnosti úložiště zdarma“ pro ruskou přepravní společnost. K e-mailům je připojena údajná faktura ve formě archivu ZIP a tato příloha obsahuje škodlivé užitečné zatížení, které infikuje systémnásledně. Po instalaci poskytuje RAT bránu pro další infekce a může být dokonce použit jako předehra pro nasazení ransomwaru.

Tvůrce DarkWatchman zůstává zatím neznámý. Přesto existují náznaky, že aktér hrozby odpovědný za její vzhled není rodilý mluvčí angličtiny (typografické chyby, oběti nacházející se v Rusku atd.). Jednou ze známých obětí je velká organizace sídlící v Rusku.