Malware DarkWatchman

DarkWatchman è un nuovo Trojan ad accesso remoto (RAT) basato su JavaScript e diffuso attraverso un'aggressiva campagna di social engineering. Questo malware utilizza specifiche tecniche "senza file" attraverso le quali elude il rilevamento e l'analisi. Inoltre, utilizza un algoritmo di generazione del dominio resiliente (DGA) per l'identificazione della sua infrastruttura di comando e controllo, aggirando la maggior parte delle soluzioni anti-malware utilizzando il registro di Windows per quasi tutte le operazioni di archiviazione temporanea e permanente delle sue operazioni pericolose. DarkWatchman non scrive nulla sul disco del computer infetto e quindi non è rilevabile da molti scanner di sicurezza.

Oltre al componente JavaScript RAT, il nuovo malware ha anche un keylogger basato su C#. Il componente keylogger del malware è memorizzato nel registro per evitare il rilevamento, per cui entrambi i componenti sono estremamente leggeri. Una volta installato, DarkWatchman può eseguire un'ampia gamma di operazioni, come l'esecuzione di binari arbitrari, il caricamento di file DLL, l'esecuzione di codice JavaScript e comandi PowerShell. Può persino disinstallare RAT e keylogger dalla macchina compromessa ogni volta che è necessario.

DarkWatchman viene distribuito tramite e-mail di spam mascherate da "Notifica di scadenza dello spazio di archiviazione gratuito" per una società di spedizioni russa. Una presunta fattura sotto forma di archivio ZIP è allegata alle e-mail e tale allegato contiene il payload dannoso che infetta il sistemasuccessivamente. Una volta installato, il RAT fornisce un gateway per ulteriori infezioni e può anche essere utilizzato come preludio per le distribuzioni di ransomware.

Il creatore di DarkWatchman rimane finora sconosciuto. Tuttavia, ci sono indizi che l'attore della minaccia responsabile della sua comparsa non sia di madrelingua inglese (errori tipografici, vittime localizzate in Russia e così via). Una delle vittime note è una grande organizzazione con sede in Russia.