Вредоносное ПО DarkWatchman имеет функции RAT и Keylogger

Эксперты по кибербезопасности сообщают о новом вредоносном ПО под названием DarkWatchman. Этот проект, похоже, написан на JavaScript, и его функции типичны для трояна удаленного доступа (RAT). Одной из причуд этой угрозы является ее способность использовать реестр Windows для хранения различной конфигурации и данных, что позволяет вредоносному ПО оставлять минимальный след на жестком диске жертвы.

Не следует недооценивать возможность безфайлового выполнения программы DarkWatchman Malware. Благодаря этому вредоносное ПО могло обойти множество мер безопасности, поскольку на самом деле оно не сбрасывает файлы на диск жертвы. В дополнение к этому он использует расширенный алгоритм генерации доменов (DGA), чтобы определить свой командно-управляющий сервер и связаться с ним.

Первыми выявленными жертвами вредоносного ПО DarkWatchman стали крупные компании, работающие в России. Однако нет никаких признаков того, что DarkWatchman Malware является частью спонсируемой государством кампании атаки. Странно то, что имплант DarkWatchman Malware не использовался для кражи данных или создания серьезных проблем. Это может означать, что преступники используют его для разведки и, возможно, планируют в будущем ввести дополнительную полезную нагрузку. Это обычная стратегия, которую используют крупные банды вымогателей для достижения максимального успеха.

В дополнение к функциональности RAT, DarkWatchman Malware также может похвастаться модулем кейлоггера, написанным на C #. Преступники, вероятно, адаптируют свою стратегию распространения вредоносного ПО в соответствии с профилем своей жертвы. Например, с российскими компаниями связались по поддельному письму от реальной транспортной компании. Бесфайловые вредоносные программы, такие как DarkWatchman, могут иметь большое значение из-за своих ускользающих свойств. Нам еще предстоит увидеть, насколько далеко будет распространяться эта конкретная кампания.