DarkWatchman Kötü Amaçlı Yazılım

DarkWatchman Kötü Amaçlı Yazılım Açıklama

DarkWatchman, JavaScript'e dayalı ve agresif bir sosyal mühendislik kampanyasıyla yayılan yeni bir uzaktan erişim Truva Atı'dır (RAT). Bu kötü amaçlı yazılım, algılama ve analizden kaçındığı belirli "dosyasız" teknikler kullanır. Ayrıca, Komuta ve Kontrol altyapısının tanımlanması için esnek bir Etki Alanı Oluşturma Algoritması (DGA) kullanır ve tehdit edici işlemlerinin neredeyse tüm geçici ve kalıcı depolaması için Windows Kayıt Defteri'ni kullanarak çoğu kötü amaçlı yazılımdan koruma çözümünü atlar. DarkWatchman, virüslü bilgisayarın diskine hiçbir şey yazmaz ve bu nedenle birçok güvenlik tarayıcısı için keşfedilemez kalır.

JavaScript RAT bileşenine ek olarak, yeni kötü amaçlı yazılım ayrıca C# tabanlı bir keylogger'a sahiptir. Kötü amaçlı yazılımın keylogger bileşeni, algılamayı önlemek için Kayıt Defteri'nde saklanır, bu sayede her iki bileşen de son derece hafiftir. DarkWatchman kurulduktan sonra, isteğe bağlı ikili dosyaları çalıştırmak, DLL dosyalarını yüklemek, JavaScript kodunu ve PowerShell komutlarını çalıştırmak gibi çok çeşitli işlemleri yürütebilir. Hatta gerektiğinde güvenliği ihlal edilmiş makineden RAT ve keylogger'ı kaldırabilir.

DarkWatchman, bir Rus nakliye şirketi için "Ücretsiz depolama süresi sonu bildirimi" olarak gizlenen spam e-postalar aracılığıyla dağıtılır. E-postalara bir ZIP arşivi biçimindeki sözde bir fatura eklenir ve bu ek, sisteme bulaşan zararlı yükü içerirdaha sonra. Kurulduktan sonra, RAT ek enfeksiyonlar için bir ağ geçidi sağlar ve hatta fidye yazılımı dağıtımları için bir başlangıç olarak kullanılabilir.

DarkWatchman'in yaratıcısı şu ana kadar bilinmiyor. Yine de, ortaya çıkmasından sorumlu olan tehdit aktörünün anadili İngilizce olmadığına dair ipuçları var (yazım hataları, Rusya'da bulunan kurbanlar vb.). Bilinen kurbanlardan biri Rusya merkezli büyük bir örgüt.