DarkWatchman Malware har RAT- och Keylogger-funktioner

Cybersäkerhetsexperter rapporterar om en ny skadlig programvara vid namn DarkWatchman. Det här projektet verkar vara skrivet i JavaScript, och dess funktioner är typiska för en Remote Access Trojan (RAT.) En av detta hots egenheter är dess förmåga att använda Windows-registret för att lagra olika konfigurationer och data, vilket gör det möjligt för skadlig programvara att lämna minsta möjliga fotavtryck på offrets hårddisk.

Den fillösa exekveringsförmågan hos DarkWatchman Malware är inte att underskatta. Tack vare det kan skadlig programvara kunna kringgå massor av säkerhetsåtgärder eftersom den inte riktigt släpper några filer på offrets disk. Utöver detta använder den en avancerad domängenereringsalgoritm (DGA) för att fastställa sin kommando-och-kontrollserver och kontakta den.

De första offren för DarkWatchman Malware som identifierades var stora företag verksamma i Ryssland. Det finns dock inga indikationer på att DarkWatchman Malware är en del av en statligt sponsrad attackkampanj. Det konstiga är att DarkWatchman Malware-implantatet inte användes för att stjäla data eller orsaka större problem. Detta kan betyda att brottslingarna använder den för spaning, och de kanske planerar att införa en sekundär nyttolast i framtiden. Detta är en vanlig strategi som stora ransomware-gäng använder för att maximera sin framgång.

Förutom RAT-funktionaliteten har DarkWatchman Malware också en keylogger-modul skriven i C#. Brottslingarna kommer sannolikt att anpassa sin strategi för spridning av skadlig programvara efter offrets profil. Till exempel kontaktades ryska företag via ett falskt mejl från ett riktigt fraktföretag. Fillös skadlig programvara som DarkWatchman kan komma långt på grund av dess undvikande egenskaper. Vi har ännu inte sett hur långt den här kampanjen kommer att spridas.