DarkWatchman haittaohjelma

DarkWatchman on uusi etäkäyttötroijalainen (RAT), joka perustuu JavaScriptiin ja leviää aggressiivisen sosiaalisen manipulointikampanjan kautta. Tämä haittaohjelma käyttää tiettyjä "tiedostottomia" tekniikoita, joiden avulla se kiertää havaitsemisen ja analyysin. Se käyttää myös joustavaa Domain Generation Algorithm (DGA) -algoritmia Command-and-Control -infrastruktuurinsa tunnistamiseen samalla, kun se ohittaa useimmat haittaohjelmien torjuntaratkaisut käyttämällä Windowsin rekisteriä lähes kaikkeen sen uhkaavien toimintojen väliaikaiseen ja pysyvään tallentamiseen. DarkWatchman ei kirjoita mitään tartunnan saaneen tietokoneen levylle, joten se pysyy monien turvaskannerien havaitsemattomana.

JavaScript RAT -komponentin lisäksi uudessa haittaohjelmassa on myös C#-pohjainen keylogger. Haittaohjelman keylogger-komponentti on tallennettu rekisteriin havaitsemisen välttämiseksi, jolloin molemmat komponentit ovat erittäin kevyitä. Asennuksen jälkeen DarkWatchman voi suorittaa monenlaisia toimintoja, kuten mielivaltaisten binäärien suorittamisen, DLL-tiedostojen lataamisen, JavaScript-koodin ja PowerShell-komentojen suorittamisen. Se voi jopa poistaa RAT:n ja keyloggerin vaarantuneesta koneesta aina tarvittaessa.

DarkWatchman jaetaan roskapostisähköpostien kautta, joka on naamioitu "ilmaisen tallennustilan vanhenemisilmoitukseksi" venäläiselle kuljetusyritykselle. Sähköposteihin on liitetty ZIP-arkiston muodossa oleva väitetty lasku, joka sisältää haitallisen hyötykuorman, joka saastuttaa järjestelmänmyöhemmin. Kun RAT on asennettu, se tarjoaa yhdyskäytävän lisätartunnalle, ja sitä voidaan jopa käyttää alkusoittona lunnasohjelmien käyttöönotolle.

DarkWatchmanin luoja on toistaiseksi tuntematon. Silti on vihjeitä siitä, että sen esiintymisestä vastuussa oleva uhkatekijä ei ole englantia äidinkielenään puhuva (typografiset virheet, Venäjällä sijaitsevat uhrit ja niin edelleen). Yksi tunnetuista uhreista on suuri Venäjällä toimiva järjestö.