A DarkWatchman Malware RAT és Keylogger funkciókat tartalmaz
Kiberbiztonsági szakértők egy új DarkWatchman nevű rosszindulatú programról számoltak be. Úgy tűnik, hogy ez a projekt JavaScript-ben íródott, és jellemzői a távelérési trójaikra (RAT) jellemzőek. Ennek a fenyegetésnek az egyik furcsasága az, hogy képes a Windows Registry-t felhasználni különféle konfigurációk és adatok tárolására, lehetővé téve a rosszindulatú program számára hagyjon minimális lábnyomot az áldozat merevlemezén.
Nem szabad alábecsülni a DarkWatchman Malware fájl nélküli végrehajtási képességét. Ennek köszönhetően a rosszindulatú program rengeteg biztonsági intézkedést megkerülhet, mivel valójában nem ejt le fájlokat az áldozat lemezére. Ezen túlmenően egy fejlett tartománygeneráló algoritmust (DGA) használ a parancs- és vezérlőkiszolgáló meghatározására és a vele való kapcsolatfelvételre.
A DarkWatchman Malware első áldozatai Oroszországban működő nagy cégek voltak. Nincs azonban arra utaló jel, hogy a DarkWatchman Malware egy államilag támogatott támadási kampány része lenne. A furcsa része az, hogy a DarkWatchman Malware implantátumot nem használták adatok ellopására vagy komoly problémák okozására. Ez azt jelentheti, hogy a bűnözők felderítésre használják, és a jövőben másodlagos rakomány bevezetését tervezik. Ez egy általános stratégia, amelyet a nagy zsarolóprogram-bandák alkalmaznak sikerük maximalizálása érdekében.
A RAT funkcionalitáson kívül a DarkWatchman Malware egy C# nyelven írt keylogger modullal is büszkélkedhet. A bűnözők valószínűleg az áldozat profiljához igazítják a rosszindulatú programok terjesztési stratégiáját. Például az orosz cégeket egy valódi szállítmányozó cég hamis e-mailjével keresték meg. Az olyan fájl nélküli rosszindulatú programok, mint a DarkWatchman, messzire képesek kitérő tulajdonságaik miatt. Még nem látjuk, hogy ez a kampány meddig terjed.