DarkWatchman Malware

DarkWatchman er en ny fjernadgang Trojan (RAT) baseret på JavaScript og spredt gennem en aggressiv social engineering kampagne. Denne malware anvender specifikke "filløse" teknikker, hvorigennem den undgår opdagelse og analyse. Den bruger også en robust Domain Generation Algorithm (DGA) til identifikation af dens Command-and-Control-infrastruktur, mens den omgår de fleste anti-malware-løsninger ved at bruge Windows-registreringsdatabasen til næsten al midlertidig og permanent lagring af dens truende operationer. DarkWatchman skriver ikke noget på den inficerede computers disk og forbliver derfor uopdagelig for mange sikkerhedsscannere.

Ud over JavaScript RAT-komponenten har den nye malware også en C#-baseret keylogger. Keylogger-komponenten af malware er gemt i registreringsdatabasen for at undgå opdagelse, hvorved begge komponenter er ekstremt lette. Når det er installeret, kan DarkWatchman udføre en bred vifte af operationer, såsom at køre vilkårlige binære filer, indlæse DLL-filer, køre JavaScript-kode og PowerShell-kommandoer. Det kan endda afinstallere RAT og keylogger fra den kompromitterede maskine, når det er nødvendigt.

DarkWatchman distribueres gennem spam-e-mails forklædt som "Udløbsmeddelelse om gratis lagerplads" for et russisk forsendelsesfirma. En påstået faktura i form af et ZIP-arkiv vedhæftes e-mails, og den vedhæftede fil indeholder den skadelige nyttelast, der inficerer systemetefterfølgende. Når den er installeret, giver RAT en gateway til yderligere infektioner, og den kan endda bruges som optakt til ransomware-implementeringer.

Skaberen af DarkWatchman er indtil videre ukendt. Alligevel er der spor af, at trusselsaktøren, der er ansvarlig for dets udseende, ikke er engelsk som modersmål (typografiske fejl, ofre i Rusland og så videre). Et af de kendte ofre er en stor organisation baseret i Rusland.