DarkWatchman Malware

DarkWatchman Malware

DarkWatchman er en ny fjerntilgang Trojan (RAT) basert på JavaScript og spredt gjennom en aggressiv sosial ingeniørkampanje. Denne skadelige programvaren bruker spesifikke "filløse" teknikker som unngår oppdagelse og analyse. Den bruker også en robust Domain Generation Algorithm (DGA) for identifisering av Command-and-Control-infrastrukturen, mens den omgår de fleste anti-malware-løsninger ved å bruke Windows-registeret for nesten all midlertidig og permanent lagring av truende operasjoner. DarkWatchman skriver ikke noe på den infiserte datamaskinens disk og forblir dermed uoppdagelig for mange sikkerhetsskannere.

I tillegg til JavaScript RAT-komponenten har den nye skadevaren også en C#-basert keylogger. Keylogger-komponenten til skadelig programvare lagres i registeret for å unngå oppdagelse, hvorved begge komponentene er ekstremt lette. Når den er installert, kan DarkWatchman utføre et bredt spekter av operasjoner, som å kjøre vilkårlige binærfiler, laste DLL-filer, kjøre JavaScript-kode og PowerShell-kommandoer. Den kan til og med avinstallere RAT og keylogger fra den kompromitterte maskinen når det er nødvendig.

DarkWatchman distribueres gjennom spam-e-poster forkledd som "Free storage expiration notification" for et russisk forsendelsesselskap. En påstått faktura i form av et ZIP-arkiv er vedlagt e-postene, og det vedlegget inneholder den skadelige nyttelasten som infiserer systemeti ettertid. Når RAT er installert, gir den en gateway for ytterligere infeksjoner, og den kan til og med brukes som et forspill til løsepenge-utplassering.

Skaperen av DarkWatchman er fortsatt ukjent så langt. Likevel er det ledetråder om at trusselaktøren som er ansvarlig for utseendet, ikke er engelsk som morsmål (typografiske feil, ofre i Russland og så videre). Et av de kjente ofrene er en stor organisasjon basert i Russland.

Loading...