DarkWatchman Malware incluye funciones de RAT y Keylogger
Los expertos en ciberseguridad están informando sobre una nueva pieza de malware con el nombre de DarkWatchman. Este proyecto parece estar escrito en JavaScript, y sus características son típicas de un troyano de acceso remoto (RAT). Una de las peculiaridades de esta amenaza es su capacidad para utilizar el Registro de Windows para almacenar diversas configuraciones y datos, lo que permite que el malware deje una huella mínima en el disco duro de la víctima.
La capacidad de ejecución sin archivos del DarkWatchman Malware no debe subestimarse. Gracias a él, el malware podría eludir toneladas de medidas de seguridad, ya que realmente no suelta ningún archivo en el disco de la víctima. Además de esto, utiliza un algoritmo avanzado de generación de dominio (DGA) para determinar su servidor de comando y control y contactarlo.
Las primeras víctimas del malware DarkWatchman que se identificaron fueron las principales empresas que operan en Rusia. Sin embargo, no hay indicios de que DarkWatchman Malware sea parte de una campaña de ataque patrocinada por el estado. Lo extraño es que el implante DarkWatchman Malware no se usó para robar datos o causar problemas importantes. Esto podría significar que los criminales lo están usando para reconocimiento y podrían estar planeando introducir una carga útil secundaria en el futuro. Esta es una estrategia común que emplean las principales bandas de ransomware para maximizar su éxito.
Además de la funcionalidad RAT, DarkWatchman Malware también cuenta con un módulo keylogger escrito en C #. Es probable que los delincuentes adapten su estrategia de propagación de malware de acuerdo con el perfil de su víctima. Por ejemplo, las empresas rusas fueron contactadas a través de un correo electrónico falso de una empresa de envío real. El malware sin archivos como DarkWatchman puede recorrer un largo camino debido a sus propiedades evasivas. Todavía tenemos que ver hasta dónde se extenderá esta campaña en particular.
