Złośliwe oprogramowanie DarkWatchman
DarkWatchman to nowy trojan dostępu zdalnego (RAT) oparty na JavaScript i rozprzestrzeniający się za pośrednictwem agresywnej kampanii socjotechnicznej. To złośliwe oprogramowanie wykorzystuje określone techniki „bezplikowe”, dzięki którym unika wykrycia i analizy. Ponadto używa odpornego algorytmu generowania domeny (DGA) do identyfikacji swojej infrastruktury Command-and-Control, omijając większość rozwiązań chroniących przed złośliwym oprogramowaniem, wykorzystując rejestr systemu Windows do prawie wszystkich tymczasowych i trwałych operacji przechowywania zagrażających mu operacji. DarkWatchman nie zapisuje niczego na dysku zainfekowanego komputera, przez co pozostaje niewykrywalny dla wielu skanerów bezpieczeństwa.
Oprócz komponentu JavaScript RAT, nowe złośliwe oprogramowanie zawiera również keylogger oparty na C#. Komponent keyloggera szkodliwego oprogramowania jest przechowywany w Rejestrze, aby uniknąć wykrycia, przy czym oba komponenty są niezwykle lekkie. Po zainstalowaniu DarkWatchman może wykonywać szeroki zakres operacji, takich jak uruchamianie dowolnych plików binarnych, ładowanie plików DLL, uruchamianie kodu JavaScript i poleceń PowerShell. W razie potrzeby może nawet odinstalować RAT i keylogger z zaatakowanej maszyny.
DarkWatchman jest dystrybuowany za pośrednictwem wiadomości spamowych podszywających się pod „powiadomienie o wygaśnięciu bezpłatnego magazynu” dla rosyjskiej firmy transportowej. Domniemana faktura w postaci archiwum ZIP jest dołączona do wiadomości e-mail, a załącznik ten zawiera szkodliwy ładunek, który infekuje systemnastępnie. Po zainstalowaniu RAT zapewnia bramę dla dodatkowych infekcji, a nawet może służyć jako wstęp do wdrażania ransomware.
Twórca DarkWatchman pozostaje do tej pory nieznany. Istnieją jednak wskazówki, że sprawca zagrożenia odpowiedzialny za jego pojawienie się nie jest native speakerem języka angielskiego (błędy typograficzne, ofiary zlokalizowane w Rosji itd.). Jedną ze znanych ofiar jest duża organizacja z siedzibą w Rosji.
