Malware DarkWatchman
DarkWatchman es un nuevo troyano de acceso remoto (RAT) basado en JavaScript y difundido a través de una agresiva campaña de ingeniería social. Este malware emplea técnicas específicas "sin archivos" a través de las cuales elude la detección y el análisis. Además, utiliza un algoritmo de generación de dominios (DGA) resistente para la identificación de su infraestructura de comando y control, al tiempo que evita la mayoría de las soluciones antimalware mediante el uso del Registro de Windows para casi todo el almacenamiento temporal y permanente de sus operaciones amenazadoras. DarkWatchman no escribe nada en el disco de la computadora infectada y, por lo tanto, sigue siendo indescifrable para muchos escáneres de seguridad.
Además del componente JavaScript RAT, el nuevo malware también tiene un registrador de teclas basado en C #. El componente keylogger del malware se almacena en el Registro para evitar la detección, por lo que ambos componentes son extremadamente livianos. Una vez instalado, DarkWatchman puede ejecutar una amplia gama de operaciones, como ejecutar binarios arbitrarios, cargar archivos DLL, ejecutar código JavaScript y comandos de PowerShell. Incluso puede desinstalar el RAT y el registrador de teclas de la máquina comprometida siempre que sea necesario.
DarkWatchman se distribuye a través de correos electrónicos no deseados disfrazados como "Notificación de caducidad de almacenamiento gratuito" para una empresa de envíos rusa. Una supuesta factura en forma de archivo ZIP se adjunta a los correos electrónicos, y ese archivo adjunto contiene la carga útil dañina que infecta el sistema.después. Una vez instalado, el RAT proporciona una puerta de entrada para infecciones adicionales, e incluso se puede utilizar como preludio para implementaciones de ransomware.
El creador de DarkWatchman sigue siendo desconocido hasta ahora. Sin embargo, hay indicios de que el actor de amenazas responsable de su aparición no es un hablante nativo de inglés (errores tipográficos, víctimas ubicadas en Rusia, etc.). Una de las víctimas conocidas es una gran organización con sede en Rusia.
