Zlonamerna programska oprema DarkWatchman

DarkWatchman je nov trojanec za oddaljeni dostop (RAT), ki temelji na JavaScriptu in se širi z agresivno kampanjo socialnega inženiringa. Ta zlonamerna programska oprema uporablja posebne tehnike »brez datotek«, s katerimi se izogne odkrivanju in analizi. Prav tako uporablja odporen algoritem za generiranje domen (DGA) za identifikacijo svoje infrastrukture za upravljanje in nadzor, medtem ko zaobide večino rešitev proti zlonamerni programski opremi z uporabo registra Windows za skoraj vse začasno in trajno shranjevanje svojih nevarnih operacij. DarkWatchman ne zapiše ničesar na disk okuženega računalnika in tako ostaja neodkrit za številne varnostne skenerje.

Poleg komponente JavaScript RAT ima nova zlonamerna programska oprema tudi keylogger, ki temelji na C#. Komponenta zlonamerne programske opreme keylogger je shranjena v registru, da se prepreči zaznavanje, pri čemer sta obe komponenti izjemno lahki. Ko je nameščen, lahko DarkWatchman izvaja širok spekter operacij, kot je zagon poljubnih binarnih datotek, nalaganje datotek DLL, izvajanje kode JavaScript in ukazi PowerShell. Po potrebi lahko celo odstrani RAT in keylogger iz ogrožene naprave.

DarkWatchman se distribuira prek neželene e-pošte, prikrite kot »obvestilo o poteku brezplačnega prostora za shranjevanje« za rusko podjetje za pošiljanje. E-poštnim sporočilom je priložen domnevni račun v obliki ZIP arhiva in ta priloga vsebuje škodljivo obremenitev, ki okuži sistemnaknadno. Ko je nameščen, RAT zagotavlja prehod za dodatne okužbe in se lahko uporablja celo kot uvod za uvajanje izsiljevalske programske opreme.

Ustvarjalec DarkWatchmana zaenkrat ostaja neznan. Vendar pa obstajajo namigi, da akter grožnje, ki je odgovoren za njegov videz, ni materni govorec angleščine (tipografske napake, žrtve v Rusiji itd.). Ena od znanih žrtev je velika organizacija s sedežem v Rusiji.