DarkWatchmanマルウェアはRATとキーロガー機能を搭載しています
サイバーセキュリティの専門家は、DarkWatchmanという名前の新しいマルウェアについて報告しています。このプロジェクトはJavaScriptで記述されているようで、その機能はリモートアクセストロイの木馬(RAT)に典型的です。この脅威の癖の1つは、さまざまな構成とデータを保存するためにWindowsレジストリを利用して、マルウェアが被害者のハードドライブに最小限のフットプリントを残します。
DarkWatchmanマルウェアのファイルレス実行機能は過小評価されるべきではありません。そのおかげで、マルウェアは被害者のディスクにファイルを実際にドロップしないため、大量のセキュリティ対策を回避できる可能性があります。これに加えて、高度なドメイン生成アルゴリズム(DGA)を使用して、コマンドアンドコントロールサーバーを決定し、サーバーに接続します。
特定されたDarkWatchmanマルウェアの最初の被害者は、ロシアで活動している大手企業でした。ただし、DarkWatchmanマルウェアが国が後援する攻撃キャンペーンの一部であるという兆候はありません。奇妙な部分は、DarkWatchman Malwareインプラントが、データを盗んだり、大きな問題を引き起こしたりするために使用されなかったことです。これは、犯罪者が偵察にそれを使用していることを意味している可能性があり、将来的に二次ペイロードを導入することを計画している可能性があります。これは、主要なランサムウェアギャングが成功を最大化するために採用する一般的な戦略です。
RAT機能に加えて、DarkWatchmanマルウェアはC#で記述されたキーロガーモジュールも誇っています。犯罪者は、被害者のプロファイルに応じてマルウェア伝播戦略を適応させる可能性があります。たとえば、ロシアの企業は、実際の輸送会社からの偽の電子メールを介して連絡を受けました。 DarkWatchmanのようなファイルレスマルウェアは、その回避的な特性のために大いに役立つ可能性があります。この特定のキャンペーンがどこまで広がるかはまだわかりません。