Il malware DarkWatchman offre funzionalità RAT e Keylogger
Gli esperti di sicurezza informatica stanno segnalando un nuovo malware chiamato DarkWatchman. Questo progetto sembra essere scritto in un JavaScript e le sue caratteristiche sono tipiche di un Trojan ad accesso remoto (RAT). Una delle peculiarità di questa minaccia è la sua capacità di utilizzare il registro di Windows per memorizzare varie configurazioni e dati, consentendo al malware di lasciare un'impronta minima sul disco rigido della vittima.
La capacità di esecuzione senza file del malware DarkWatchman non deve essere sottovalutata. Grazie ad esso, il malware potrebbe essere in grado di aggirare tonnellate di misure di sicurezza poiché in realtà non rilascia alcun file sul disco della vittima. Oltre a ciò, utilizza un algoritmo di generazione del dominio avanzato (DGA) per determinare il suo server di comando e controllo e contattarlo.
Le prime vittime del malware DarkWatchman ad essere identificate sono state le grandi aziende operanti in Russia. Tuttavia, non ci sono indicazioni che il malware DarkWatchman faccia parte di una campagna di attacco sponsorizzata dallo stato. La parte strana è che l'impianto DarkWatchman Malware non è stato utilizzato per rubare dati o causare problemi importanti. Ciò potrebbe significare che i criminali lo stanno usando per la ricognizione e potrebbero pianificare di introdurre un carico utile secondario in futuro. Questa è una strategia comune utilizzata dai principali gruppi di ransomware per massimizzare il loro successo.
Oltre alla funzionalità RAT, DarkWatchman Malware vanta anche un modulo keylogger scritto in C#. È probabile che i criminali adattino la loro strategia di propagazione del malware in base al profilo della loro vittima. Ad esempio, le società russe sono state contattate tramite un'e-mail falsa di una vera società di spedizioni. Il malware senza file come DarkWatchman può fare molto a causa delle sue proprietà evasive. Dobbiamo ancora vedere fino a che punto si diffonderà questa particolare campagna.
