DarkWatchman Malware

DarkWatchman är en ny trojan för fjärråtkomst (RAT) baserad på JavaScript och spridd genom en aggressiv social ingenjörskampanj. Denna skadliga programvara använder specifika "fillösa" tekniker genom vilka den undviker upptäckt och analys. Dessutom använder den en motståndskraftig Domain Generation Algorithm (DGA) för identifiering av dess Command-and-Control-infrastruktur, samtidigt som den kringgår de flesta anti-malware-lösningar genom att använda Windows-registret för nästan all tillfällig och permanent lagring av dess hotande operationer. DarkWatchman skriver ingenting på den infekterade datorns disk och förblir därför oupptäckbar för många säkerhetsskannrar.

Förutom JavaScript RAT-komponenten har den nya skadliga programvaran även en C#-baserad keylogger. Keylogger-komponenten för skadlig programvara lagras i registret för att undvika upptäckt, varvid båda komponenterna är extremt lätta. När det väl är installerat kan DarkWatchman utföra ett brett utbud av operationer, som att köra godtyckliga binärfiler, ladda DLL-filer, köra JavaScript-kod och PowerShell-kommandon. Den kan till och med avinstallera RAT och keylogger från den komprometterade maskinen när det behövs.

DarkWatchman distribueras genom spam-e-postmeddelanden förklädda som "meddelande om gratis lagringsutgång" för ett ryskt transportföretag. En påstådd faktura i form av ett ZIP-arkiv bifogas e-postmeddelandena, och den bilagan innehåller den skadliga nyttolasten som infekterar systemetsenare. När den väl har installerats ger RAT en gateway för ytterligare infektioner, och den kan till och med användas som ett förspel för utplacering av ransomware.

Skaparen av DarkWatchman är fortfarande okänd än så länge. Ändå finns det ledtrådar om att hotaktören som är ansvarig för dess utseende inte är engelska som modersmål (typografiska fel, offer i Ryssland och så vidare). Ett av de kända offren är en stor organisation baserad i Ryssland.