„DarkWatchman“ kenkėjiška programa turi RAT ir „Keylogger“ funkcijas

Kibernetinio saugumo ekspertai praneša apie naują kenkėjišką programą, pavadintą „DarkWatchman“. Atrodo, kad šis projektas parašytas „JavaScript“, o jo funkcijos būdingos nuotolinės prieigos Trojos arkliui (RAT). Viena iš šios grėsmės keistenybių yra galimybė naudoti „Windows“ registrą įvairiai konfigūracijai ir duomenims saugoti, kad kenkėjiška programa galėtų palikite minimalų pėdsaką aukos kietajame diske.

Negalima nuvertinti „DarkWatchman“ kenkėjiškos programos be failų vykdymo galimybių. Dėl šios priežasties kenkėjiška programa gali apeiti daugybę saugumo priemonių, nes ji iš tikrųjų neįtraukia jokių failų į aukos diską. Be to, jis naudoja pažangų domenų generavimo algoritmą (DGA), kad nustatytų savo komandų ir valdymo serverį ir su juo susisiekti.

Pirmosios „DarkWatchman“ kenkėjiškos programos aukos buvo didelės Rusijoje veikiančios įmonės. Tačiau nėra jokių požymių, kad „DarkWatchman“ kenkėjiška programa yra valstybės remiamos atakų kampanijos dalis. Keista tai, kad „DarkWatchman“ kenkėjiškų programų implantas nebuvo naudojamas duomenims pavogti ar didelių problemų sukelti. Tai gali reikšti, kad nusikaltėliai jį naudoja žvalgybai ir galbūt ateityje planuoja įvesti antrinį naudingąjį krovinį. Tai yra įprasta strategija, kurią taiko didžiosios išpirkos reikalaujančių programų grupės, siekdamos maksimaliai padidinti savo sėkmę.

Be RAT funkcionalumo, „DarkWatchman“ kenkėjiška programa taip pat gali pasigirti C# parašytu klavišų registravimo moduliu. Tikėtina, kad nusikaltėliai pritaikys savo kenkėjiškų programų platinimo strategiją pagal savo aukos profilį. Pavyzdžiui, su Rusijos įmonėmis buvo susisiekta netikru elektroniniu paštu iš tikros siuntų įmonės. Be failų kenkėjiškos programos, tokios kaip „DarkWatchman“, gali nuveikti ilgą kelią dėl savo vengiančių savybių. Dar laukiame, kiek ši kampanija išplis.