Złośliwe oprogramowanie DarkWatchman zawiera funkcje RAT i keyloggera

Eksperci ds. cyberbezpieczeństwa donoszą o nowym złośliwym oprogramowaniu o nazwie DarkWatchman. Ten projekt wydaje się być napisany w JavaScript, a jego funkcje są typowe dla trojana zdalnego dostępu (RAT). Jednym z dziwactw tego zagrożenia jest jego zdolność do wykorzystywania rejestru systemu Windows do przechowywania różnych konfiguracji i danych, dzięki czemu złośliwe oprogramowanie może pozostawić minimalny ślad na dysku twardym ofiary.

Nie należy lekceważyć możliwości bezplikowego wykonywania złośliwego oprogramowania DarkWatchman. Dzięki temu złośliwe oprogramowanie może ominąć mnóstwo środków bezpieczeństwa, ponieważ tak naprawdę nie upuszcza żadnych plików na dysk ofiary. Oprócz tego wykorzystuje zaawansowany algorytm generowania domen (DGA) w celu określenia swojego serwera dowodzenia i kontroli oraz skontaktowania się z nim.

Pierwszymi ofiarami złośliwego oprogramowania DarkWatchman, które zostały zidentyfikowane, były duże firmy działające w Rosji. Jednak nic nie wskazuje na to, że DarkWatchman Malware jest częścią sponsorowanej przez państwo kampanii ataku. Dziwne jest to, że implant DarkWatchman Malware nie był używany do kradzieży danych ani powodowania poważnych problemów. Może to oznaczać, że przestępcy używają go do zwiadu i być może planują w przyszłości wprowadzić dodatkowy ładunek. Jest to powszechna strategia, którą stosują duże gangi ransomware, aby zmaksymalizować swój sukces.

Oprócz funkcjonalności RAT, DarkWatchman Malware posiada również moduł keyloggera napisany w C#. Przestępcy prawdopodobnie dostosują swoją strategię rozprzestrzeniania szkodliwego oprogramowania do profilu swojej ofiary. Na przykład z rosyjskimi firmami skontaktowano się za pośrednictwem fałszywego e-maila od prawdziwej firmy przewozowej. Bezplikowe złośliwe oprogramowanie, takie jak DarkWatchman, może przejść długą drogę ze względu na swoje właściwości wymijające. Jeszcze nie wiemy, jak daleko rozprzestrzeni się ta konkretna kampania.