DarkWatchman-Malware enthält RAT- und Keylogger-Funktionen

Cybersicherheitsexperten berichten von einer neuen Malware namens DarkWatchman. Dieses Projekt scheint in JavaScript geschrieben zu sein, und seine Funktionen sind typisch für einen Remote Access Trojan (RAT). Eine der Macken dieser Bedrohung ist ihre Fähigkeit, die Windows-Registrierung zu verwenden, um verschiedene Konfigurationen und Daten zu speichern, sodass die Malware hinterlassen minimalen Fußabdruck auf der Festplatte des Opfers.

Die dateilose Ausführungsfähigkeit der DarkWatchman Malware ist nicht zu unterschätzen. Dank dessen könnte die Malware jede Menge Sicherheitsmaßnahmen umgehen, da sie keine Dateien wirklich auf die Festplatte des Opfers ablegt. Darüber hinaus verwendet es einen fortschrittlichen Domänengenerierungsalgorithmus (DGA), um seinen Command-and-Control-Server zu bestimmen und ihn zu kontaktieren.

Die ersten Opfer der DarkWatchman-Malware, die identifiziert wurden, waren große Unternehmen, die in Russland tätig sind. Es gibt jedoch keine Hinweise darauf, dass die DarkWatchman-Malware Teil einer staatlich geförderten Angriffskampagne ist. Das Seltsame daran ist, dass das DarkWatchman Malware-Implantat nicht verwendet wurde, um Daten zu stehlen oder größere Probleme zu verursachen. Dies könnte bedeuten, dass die Kriminellen es zur Aufklärung verwenden und möglicherweise planen, in Zukunft eine sekundäre Nutzlast einzuführen. Dies ist eine gängige Strategie, die große Ransomware-Banden anwenden, um ihren Erfolg zu maximieren.

Neben der RAT-Funktionalität verfügt die DarkWatchman-Malware auch über ein in C# geschriebenes Keylogger-Modul. Die Kriminellen werden ihre Malware-Verbreitungsstrategie wahrscheinlich dem Profil ihres Opfers anpassen. Beispielsweise wurden russische Unternehmen über eine gefälschte E-Mail von einem echten Versandunternehmen kontaktiert. Dateilose Malware wie DarkWatchman kann aufgrund ihrer ausweichenden Eigenschaften viel bewirken. Wir müssen noch sehen, wie weit sich diese spezielle Kampagne ausbreiten wird.