DarkWatchman Malware har RAT- og Keylogger-funktioner

Cybersikkerhedseksperter rapporterer om et nyt stykke malware ved navnet DarkWatchman. Dette projekt ser ud til at være skrevet i et JavaScript, og dets funktioner er typiske for en Remote Access Trojan (RAT). Et af denne trussels særheder er dens evne til at bruge Windows-registreringsdatabasen til at gemme forskellige konfigurationer og data, hvilket gør det muligt for malwaren at efterlade et minimum af fodaftryk på ofrets harddisk.

DarkWatchman Malwares filløse eksekveringsevne er ikke at undervurdere. Takket være det kunne malwaren være i stand til at omgå tonsvis af sikkerhedsforanstaltninger, da den ikke rigtig taber nogen filer på ofrets disk. Ud over dette bruger den en avanceret domænegenereringsalgoritme (DGA) til at bestemme sin kommando-og-kontrol-server og kontakte den.

De første ofre for DarkWatchman Malware, der blev identificeret, var store virksomheder, der opererede i Rusland. Der er dog ingen indikationer på, at DarkWatchman Malware er en del af en statssponsoreret angrebskampagne. Den mærkelige del er, at DarkWatchman Malware-implantatet ikke blev brugt til at stjæle data eller forårsage større problemer. Dette kan betyde, at de kriminelle bruger det til rekognoscering, og de planlægger måske at indføre en sekundær nyttelast i fremtiden. Dette er en fælles strategi, som store ransomware-bander anvender for at maksimere deres succes.

Ud over RAT-funktionaliteten kan DarkWatchman Malware også prale af et keylogger-modul skrevet i C#. De kriminelle vil sandsynligvis tilpasse deres malware-udbredelsesstrategi i henhold til deres ofres profil. For eksempel blev russiske virksomheder kontaktet via en falsk e-mail fra et rigtigt forsendelsesfirma. Filløs malware som DarkWatchman kan komme langt på grund af dens undvigende egenskaber. Vi mangler endnu at se, hvor langt denne særlige kampagne vil sprede sig.