DarkWatchman 멀웨어

DarkWatchman은 JavaScript를 기반으로 하는 새로운 원격 액세스 트로이 목마(RAT)이며 공격적인 사회 공학 캠페인을 통해 확산됩니다. 이 멀웨어는 탐지 및 분석을 회피하는 특정 "파일리스" 기술을 사용합니다. 또한 명령 및 제어 인프라 식별을 위해 탄력적인 DGA(도메인 생성 알고리즘)를 사용하는 동시에 위협적인 작업의 거의 모든 임시 및 영구 저장에 Windows 레지스트리를 사용하여 대부분의 맬웨어 방지 솔루션을 우회합니다. DarkWatchman은 감염된 컴퓨터의 디스크에 아무 것도 쓰지 않으므로 많은 보안 스캐너에서 검색할 수 없습니다.

JavaScript RAT 구성 요소 외에도 새로운 악성 코드에는 C# 기반 키로거가 있습니다. 맬웨어의 키로거 구성 요소는 탐지를 피하기 위해 레지스트리에 저장되므로 두 구성 요소 모두 매우 가볍습니다. 일단 설치되면 DarkWatchman은 임의 바이너리 실행, DLL 파일 로드, JavaScript 코드 및 PowerShell 명령 실행과 같은 광범위한 작업을 실행할 수 있습니다. 필요할 때마다 손상된 시스템에서 RAT 및 키로거를 제거할 수도 있습니다.

DarkWatchman은 러시아 배송 회사의 "무료 저장 만료 알림"으로 위장한 스팸 이메일을 통해 배포됩니다. ZIP 아카이브 형식의 청구서가 이메일에 첨부되어 있으며 해당 첨부 파일에는 시스템을 감염시키는 유해한 페이로드가 포함되어 있습니다.그후. RAT는 일단 설치되면 추가 감염을 위한 게이트웨이를 제공하며 랜섬웨어 배포의 서곡으로 사용될 수도 있습니다.

DarkWatchman의 제작자는 지금까지 알려지지 않았습니다. 다만, 외모에 책임이 있는 공격자가 영어가 모국어가 아니라는 단서가 있다(철자 오류, 러시아에 거주하는 피해자 등). 알려진 희생자 중 하나는 러시아에 기반을 둔 대규모 조직입니다.