DarkWatchman Malware har RAT- og Keylogger-funksjoner

Eksperter på nettsikkerhet rapporterer om et nytt stykke skadevare ved navnet DarkWatchman. Dette prosjektet ser ut til å være skrevet i JavaScript, og dets funksjoner er typiske for en Remote Access Trojan (RAT.) En av denne trusselens særheter er dens evne til å bruke Windows-registeret for å lagre ulike konfigurasjoner og data, slik at skadelig programvare kan etterlate minimum fotavtrykk på offerets harddisk.

Den filløse kjøringsevnen til DarkWatchman Malware er ikke å undervurdere. Takket være det kan skadelig programvare være i stand til å omgå tonnevis av sikkerhetstiltak siden den egentlig ikke slipper noen filer på offerets disk. I tillegg til dette bruker den en avansert domenegenereringsalgoritme (DGA) for å bestemme kommando-og-kontrollserveren og kontakte den.

De første ofrene for DarkWatchman Malware som ble identifisert var store selskaper som opererer i Russland. Det er imidlertid ingen indikasjoner på at DarkWatchman Malware er en del av en statsstøttet angrepskampanje. Den merkelige delen er at DarkWatchman Malware-implantatet ikke ble brukt til å stjele data eller forårsake store problemer. Dette kan bety at de kriminelle bruker den til rekognosering, og de planlegger kanskje å innføre en sekundær nyttelast i fremtiden. Dette er en vanlig strategi som store løsepengevaregjenger bruker for å maksimere deres suksess.

I tillegg til RAT-funksjonaliteten, har DarkWatchman Malware også en keylogger-modul skrevet i C#. De kriminelle vil sannsynligvis tilpasse sin spredningsstrategi for skadelig programvare i henhold til offerets profil. For eksempel ble russiske selskaper kontaktet via en falsk e-post fra et ekte forsendelsesselskap. Filløs skadelig programvare som DarkWatchman kan komme langt på grunn av dens unnvikende egenskaper. Vi har ennå ikke sett hvor langt denne kampanjen vil spre seg.