DarkWatchman-Malware

DarkWatchman ist ein neuer Remote-Access-Trojaner (RAT), der auf JavaScript basiert und durch eine aggressive Social-Engineering-Kampagne verbreitet wird. Diese Malware verwendet spezielle „dateilose“ Techniken, durch die sie der Erkennung und Analyse entgeht. Außerdem verwendet es einen belastbaren Domain Generation Algorithm (DGA) zur Identifizierung seiner Command-and-Control-Infrastruktur, während die meisten Anti-Malware-Lösungen umgangen werden, indem die Windows-Registrierung für fast alle temporären und permanenten Speicherungen seiner bedrohlichen Operationen verwendet wird. DarkWatchman schreibt nichts auf die Festplatte des infizierten Computers und bleibt somit für viele Sicherheitsscanner unauffindbar.

Neben der JavaScript-RAT-Komponente verfügt die neue Malware auch über einen C#-basierten Keylogger. Die Keylogger-Komponente der Malware wird in der Registry gespeichert, um eine Erkennung zu vermeiden, wobei beide Komponenten extrem leichtgewichtig sind. Nach der Installation kann DarkWatchman eine Vielzahl von Operationen ausführen, wie das Ausführen beliebiger Binärdateien, das Laden von DLL-Dateien, das Ausführen von JavaScript-Code und PowerShell-Befehlen. Es kann bei Bedarf sogar die RAT und den Keylogger vom kompromittierten Computer deinstallieren.

DarkWatchman wird über Spam-E-Mails verbreitet, die als „Benachrichtigung über den Ablauf des kostenlosen Speichers“ für ein russisches Versandunternehmen getarnt sind. Den E-Mails ist eine angebliche Rechnung in Form eines ZIP-Archivs beigefügt, die die schädliche Nutzlast enthält, die das System infiziertanschließend. Nach der Installation bietet die RAT ein Gateway für zusätzliche Infektionen und kann sogar als Auftakt für Ransomware-Bereitstellungen verwendet werden.

Der Schöpfer von DarkWatchman ist bisher unbekannt. Es gibt jedoch Hinweise darauf, dass der für sein Auftreten verantwortliche Bedrohungsakteur kein englischer Muttersprachler ist (Schreibfehler, Opfer in Russland usw.). Eines der bekannten Opfer ist eine große Organisation mit Sitz in Russland.

Im Trend

Am häufigsten gesehen

Wird geladen...