Um novo malware com JavaScript RAT altamente capaz, que é emparelhado com um keylogger C#, foi descoberto pelos analistas de segurança da Prevailion, que surgiu recentemente no submundo do crime cibernético.
Este novo malware leve e furtivo é apelidado de ‘DarkWatchman’ e é operado por agentes de ameaças baseados na Rússia, que visam principalmente organizações baseadas na Rússia.
No início de novembro, foram detectados os primeiros sinais e a existência do DarkWatchman.
Durante a investigação, descobriu-se que, através de e-mails de phishing com anexos ZIP maliciosos, os invasores estão distribuindo esse malware para atingir suas vítimas.
Anexos maliciosos
Esses anexos ZIP maliciosos contêm o seguinte: –
Depois que o usuário abre o anexo, em segundo plano, o arquivo WinRAR de instalação automática inicia automaticamente a instalação das cargas.
Capacidades e funcionalidades do DarkWatchman
- Execute arquivos EXE (com ou sem a saída retornada)
- Carregar arquivos DLL
- Executar comandos na linha de comando
- Executar comandos WSH
- Execute comandos diversos via WMI
- Execute comandos do PowerShell
- Avalie JavaScript
- Carregar arquivos para o servidor C2 da máquina vítima
- Pare e desinstale remotamente o RAT e o Keylogger
- Atualize remotamente o endereço do servidor C2 ou o tempo limite de call home
- Atualize o RAT e o Keylogger remotamente
- Defina um JavaScript de inicialização automática para ser executado na inicialização do RAT
- Um Algoritmo de Geração de Domínio (DGA) para resiliência C2
- Se o usuário tiver permissões de administrador, ele excluirá cópias de sombra usando vssadmin.exe
Um RAT ‘sem arquivo’
Por que esse malware foi marcado com a tag “furtivo e leve”? Tudo devido às suas capacidades e tamanho do arquivo.
Este malware furtivo, DarkWatchman, é um JavaScript RAT que cogita o tamanho de 32kb, e quando é compilado, usa apenas 80,5kb de espaço.
Além de ter métodos furtivos, DarkWatchman, ao transferir dados entre módulos, usa o seguinte: –
- Grande conjunto de binários
- Roteiros
- Várias cargas furtivas
Para o keylogger, DarkWatchman usa o Windows Armazenamento sem arquivo de registro significa, o que implica, toda vez que o usuário faz login Windows uma tarefa agendada será montada para iniciar o DarkWatchman RAT em vez de armazenar o keylogger no disco.
Aqui está o que os especialistas em segurança, Matt Stafford e Sherman Smith afirmou:-
“O keylogger é distribuído como código-fonte C# ofuscado que é processado e armazenado no registro como um comando do PowerShell codificado em Base64. Quando o RAT é iniciado, ele executa este script do PowerShell que, por sua vez, compila o keylogger (usando CSC) e o executa. O keylogger em si não se comunica com o C2 nem grava no disco. Em vez disso, ele grava seu keylog em uma chave de registro que usa como buffer.”
Além disso, especulou-se que DarkWatchman pode ser adaptado por ou para grupos de ransomware. Como o malware oferece vários recursos furtivos, os grupos com menos habilidades serão lucrados com esse malware.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
