DarkWatchman Malware carrega recursos RAT e Keylogger

Especialistas em segurança cibernética estão relatando sobre um novo malware chamado DarkWatchman. Este projeto parece ter sido escrito em JavaScript e seus recursos são típicos de um Trojan de acesso remoto (RAT). Uma das peculiaridades dessa ameaça é a capacidade de utilizar o Registro do Windows para armazenar várias configurações e dados, permitindo que o malware deixe uma pegada mínima no disco rígido da vítima.

A capacidade de execução sem arquivo do Malware DarkWatchman não deve ser subestimada. Graças a ele, o malware pode ser capaz de contornar toneladas de medidas de segurança, uma vez que ele realmente não coloca nenhum arquivo no disco da vítima. Além disso, ele usa um algoritmo de geração de domínio avançado (DGA) para determinar seu servidor de comando e controle e contatá-lo.

As primeiras vítimas do malware DarkWatchman a serem identificadas foram grandes empresas que operam na Rússia. No entanto, não há indicações de que o DarkWatchman Malware faça parte de uma campanha de ataque patrocinada pelo estado. A parte estranha é que o implante de Malware DarkWatchman não foi usado para roubar dados ou causar grandes problemas. Isso pode significar que os criminosos estão usando-o para reconhecimento e podem estar planejando introduzir uma carga secundária no futuro. Esta é uma estratégia comum que as principais gangues de ransomware empregam para maximizar seu sucesso.

Além da funcionalidade RAT, o DarkWatchman Malware também possui um módulo keylogger escrito em C #. É provável que os criminosos adaptem sua estratégia de propagação de malware de acordo com o perfil da vítima. Por exemplo, empresas russas foram contatadas por meio de um e-mail falso de uma empresa de remessa real. Malwares sem arquivo como o DarkWatchman podem percorrer um longo caminho por causa de suas propriedades evasivas. Ainda estamos para ver até onde essa campanha em particular se espalhará.