ΑρχικήsecurityDarkWatchman: Νέο malware κρύβεται στο Windows Registry

DarkWatchman: Νέο malware κρύβεται στο Windows Registry

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware με το όνομα “DarkWatchman“, το οποίο εκμεταλλεύεται το Windows Registry και είναι ένα εξαιρετικά ικανό JavaScript RAT (Remote Access Trojan) μαζί με C# keylogger.

Σύμφωνα με την έκθεση των ερευνητών της Prevailion, το DarkWatchman RAT χρησιμοποιείται από ρωσόφωνους κυβερνοεγκληματίες, που στοχεύουν κυρίως ρωσικούς οργανισμούς.

DarkWatchman malware RAT

Οι ειδικοί ανακάλυψαν το DarkWatchman τον προηγούμενο μήνα. Οι εγκληματίες του κυβερνοχώρου το διένειμαν μέσω phishing emails που περιέχουν κακόβουλα συνημμένα ZIP.

Δείτε επίσης: Μισό εκατ. χρήστες έχουν εγκαταστήσει app που παραδίδει το Joker malware

Αυτά τα αρχεία ZIP περιέχουν ένα εκτελέσιμο που χρησιμοποιεί ένα εικονίδιο που μιμείται ένα έγγραφο κειμένου. Αυτό το εκτελέσιμο είναι ένα self-installing WinRAR archive που εγκαθιστά το RAT και το keylogger.

Εάν ανοίξει, εμφανίζεται στον χρήστη ένα popup μήνυμα που λέει “Unknown Format”, αλλά στην πραγματικότητα, τα payloads έχουν ήδη εγκατασταθεί στο background.

DarkWatchman malware: Ένα επικίνδυνο ‘file-less’ RAT

Το DarkWatchman είναι ένα light malware, με το JavaScript RAT να έχει μέγεθος μόλις 32 kb.

Χρησιμοποιεί ένα μεγάλο σύνολο “living off the land” binaries, scripts και libraries και ενσωματώνει κρυφές μεθόδους για τη μεταφορά δεδομένων μεταξύ των modules.

Ωστόσο, οι ειδικοί προτείνουν ότι η πιο ενδιαφέρουσα πτυχή του DarkWatchman είναι η χρήση του Windows Registry fileless storage mechanism για το keylogger.

Αντί να αποθηκεύεται το keylogger στο δίσκο, δημιουργείται ένα scheduled task για την εκκίνηση του DarkWatchman RAT, κάθε φορά που ο χρήστης συνδέεται στα Windows.

Μόλις ενεργοποιηθεί, το DarkWatchmen θα εκτελέσει ένα PowerShell script που θα ενεργοποιήσει το keylogger.

Δείτε επίσης: Anubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων

Επίσης, σύμφωνα με τους ερευνητές, το ίδιο το keylogger δεν επικοινωνεί με το C2.

Στην πραγματικότητα, χρησιμοποιεί το Windows Registry. Το Windows Registry δεν χρησιμοποιείται μόνο ως μέρος για την απόκρυψη του κωδικοποιημένου executable code, αλλά και ως προσωρινή τοποθεσία για τη διατήρηση των κλεμμένων δεδομένων έως ότου γίνει εξαγωγή στο C2.

Περισσότερα σχετικά με την επικοινωνία και την υποδομή C2, μπορείτε να δείτε στην έκθεση των ερευνητών.

Παρακάτω, μπορείτε να δείτε τις δυνατότητες του DarkWatchman malware:

  • Εκτέλεση αρχείων EXE
  • Φόρτωση αρχείων DLL
  • Εκτέλεση εντολών στο command line
  • Εκτέλεση WSH εντολών
  • Εκτέλεση εντολών μέσω WMI
  • Εκτέλεση PowerShell εντολών
  • Αξιολόγηση JavaScript
  • Μεταφόρτωση αρχείων στο C2 server από το μηχάνημα-στόχο
  • Απομακρυσμένος τερματισμός και απεγκατάσταση του RAT και του Keylogger
  • Ενημέρωση εξ αποστάσεως του C2 server address
  • Απομακρυσμένη ενημέρωση του RAT και του Keylogger
  • Ένα Domain Generation Algorithm (DGA) για C2 resiliency
  • Εάν ο χρήστης έχει δικαιώματα διαχειριστή, διαγράφει τα shadow copies χρησιμοποιώντας το vssadmin.exe
Windows Registry

Σχέση με ransomware;

Η Prevailion θεωρεί ότι το DarkWatchman malware μπορεί να είναι σχεδιασμένο από/για ομάδες ransomware που προσπαθούν να ενδυναμώσουν τους λιγότερο ικανούς συνεργάτες τους με ένα ισχυρό και κρυφό εργαλείο.

Δείτε επίσης: Phishing emails διανέμουν το Agent Tesla malware μέσω κακόβουλων PowerPoint

Το DarkWatchman malware μπορεί να φορτώσει πρόσθετα payloads από απόσταση, ώστε να μπορεί να χρησιμοποιηθεί ως “μόλυνση πρώτου σταδίου”, για επακόλουθη ανάπτυξη ransomware.

Δεδομένου ότι το DarkWatchman μπορεί να επικοινωνήσει με domains που ελέγχονται από τους επιτιθέμενους μετά την αρχική πρόσβαση, ο χειριστής ransomware θα μπορούσε να αναπτύξει το ransomware ή να χειριστεί απευθείας την εξαγωγή αρχείων.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS