DarkWatchman Malware

O DarkWatchman é um novo Trojan de Acesso Remoto (RAT) baseado no JavaScript e propagado por meio de uma campanha agressiva de engenharia social. Esse malware emprega técnicas específicas “sem arquivo” por meio das quais evita a detecção e a análise. Além disso, ele usa um Algoritmo de Geração de Domínio resiliente (DGA) para a identificação de sua infraestrutura de Comando e Controle, enquanto contorna a maioria das soluções anti-malware usando o Registro do Windows para quase todo o armazenamento temporário e permanente de suas operações ameaçadoras. O DarkWatchman não grava nada no disco do computador infectado e, portanto, permanece invisível para muitos digitalizadores de segurança.

Além do componente JavaScript RAT, o novo malware também possui um keylogger baseado no C#. O componente keylogger do malware é armazenado no Registro para evitar a detecção, sendo que ambos os componentes são extremamente leves. Uma vez instalado, o DarkWatchman pode executar uma ampla gama de operações, tais como executar binários arbitrários, carregar arquivos DLL, executar código JavaScript e comandos do PowerShell. Ele pode até desinstalar o RAT e o keylogger da máquina comprometida sempre que necessário.

O DarkWatchman é distribuído por meio de e-mails de spam disfarçados como “Notificação gratuita de expiração de armazenamento” para uma empresa transportadora russa. Uma suposta fatura na forma de um arquivo ZIP é anexada aos e-mails, e esse anexo contém a carga prejudicial que infecta o sistema subseqüentemente. Depois de instalado, o RAT fornece um portal para infecções adicionais e pode até ser usado como um prelúdio para implantações de ransomware.

O criador do DarkWatchman permanece desconhecido até agora. No entanto, há indícios de que o autor da ameaça responsável por sua aparência não é um falante nativo do inglês (erros tipográficos, vítimas localizadas na Rússia e assim por diante). Uma das vítimas conhecidas é uma grande organização com sede na Rússia.