Вредоносное ПО DarkWatchman

DarkWatchman - это новый троян для удаленного доступа (RAT), основанный на JavaScript и распространяемый через агрессивную кампанию социальной инженерии. Это вредоносное ПО использует особые «бесфайловые» методы, с помощью которых оно уклоняется от обнаружения и анализа. Кроме того, он использует устойчивый алгоритм генерации доменов (DGA) для идентификации своей инфраструктуры управления и контроля, обходя при этом большинство решений для защиты от вредоносных программ, используя реестр Windows для почти всех временных и постоянных хранилищ своих угрожающих операций. DarkWatchman ничего не записывает на диск зараженного компьютера и поэтому остается недоступным для обнаружения многими сканерами безопасности.

Помимо компонента JavaScript RAT, новое вредоносное ПО также имеет кейлоггер на основе C #. Компонент кейлоггера вредоносной программы хранится в реестре, чтобы избежать обнаружения, благодаря чему оба компонента чрезвычайно легкие. После установки DarkWatchman может выполнять широкий спектр операций, таких как запуск произвольных двоичных файлов, загрузка файлов DLL, запуск кода JavaScript и команд PowerShell. При необходимости он может даже удалить RAT и кейлоггер со взломанной машины.

DarkWatchman распространяется через спам-сообщения, замаскированные под «Уведомление об истечении срока бесплатного хранения» для российской транспортной компании. Предполагаемый счет-фактура в виде ZIP-архива прикрепляется к электронным письмам, и это вложение содержит вредоносную полезную нагрузку, которая заражает систему.впоследствии. После установки RAT предоставляет шлюз для дополнительных заражений и даже может использоваться в качестве прелюдии для развертывания программ-вымогателей.

Создатель DarkWatchman пока неизвестен. Тем не менее, есть признаки того, что злоумышленник, ответственный за его появление, не является носителем английского языка (опечатки, жертвы находятся в России и т. Д.). Одна из известных жертв - крупная организация, базирующаяся в России.