DarkWatchman-malware

DarkWatchman is een nieuwe Remote Access Trojan (RAT) gebaseerd op JavaScript en verspreid via een agressieve social engineering-campagne. Deze malware maakt gebruik van specifieke "bestandsloze" technieken waarmee het detectie en analyse ontwijkt. Het gebruikt ook een veerkrachtig Domain Generation Algorithm (DGA) voor de identificatie van zijn Command-and-Control-infrastructuur, terwijl het de meeste anti-malwareoplossingen omzeilt door het Windows-register te gebruiken voor bijna alle tijdelijke en permanente opslag van zijn bedreigende operaties. DarkWatchman schrijft niets op de schijf van de geïnfecteerde computer en blijft dus onvindbaar voor veel beveiligingsscanners.

Naast de JavaScript RAT-component heeft de nieuwe malware ook een op C# gebaseerde keylogger. De keylogger-component van de malware wordt opgeslagen in het register om detectie te voorkomen, waarbij beide componenten extreem licht zijn. Eenmaal geïnstalleerd, kan DarkWatchman een breed scala aan bewerkingen uitvoeren, zoals het uitvoeren van willekeurige binaire bestanden, het laden van DLL-bestanden, het uitvoeren van JavaScript-code en PowerShell-opdrachten. Het kan zelfs de RAT en keylogger van de gecompromitteerde machine verwijderen wanneer dat nodig is.

DarkWatchman wordt verspreid via spam-e-mails die zijn vermomd als "Vervaldatum van gratis opslag" voor een Russisch transportbedrijf. Een vermeende factuur in de vorm van een ZIP-archief is bij de e-mails gevoegd en die bijlage bevat de schadelijke lading die het systeem infecteerthierop volgend. Eenmaal geïnstalleerd, biedt de RAT een toegangspoort voor extra infecties en kan het zelfs worden gebruikt als een opmaat voor ransomware-implementaties.

De maker van DarkWatchman blijft tot nu toe onbekend. Toch zijn er aanwijzingen dat de dreigingsactor die verantwoordelijk is voor zijn uiterlijk geen Engelse moedertaalspreker is (typografische fouten, slachtoffers in Rusland enzovoort). Een van de bekende slachtoffers is een grote organisatie in Rusland.