Malware DarkWatchman
DarkWatchman est un nouveau cheval de Troie d'accès à distance (RAT) basé sur JavaScript et diffusé via une campagne d'ingénierie sociale agressive. Ce malware utilise des techniques spécifiques « sans fichier » grâce auxquelles il échappe à la détection et à l'analyse. En outre, il utilise un algorithme de génération de domaine (DGA) résilient pour l'identification de son infrastructure de commande et de contrôle, tout en contournant la plupart des solutions anti-malware en utilisant le registre Windows pour presque tout le stockage temporaire et permanent de ses opérations menaçantes. DarkWatchman n'écrit rien sur le disque de l'ordinateur infecté et reste donc introuvable pour de nombreux scanners de sécurité.
En plus du composant JavaScript RAT, le nouveau malware dispose également d'un keylogger basé sur C#. Le composant keylogger du malware est stocké dans le registre pour éviter la détection, les deux composants étant extrêmement légers. Une fois installé, DarkWatchman peut exécuter un large éventail d'opérations, telles que l'exécution de binaires arbitraires, le chargement de fichiers DLL, l'exécution de code JavaScript et de commandes PowerShell. Il peut même désinstaller le RAT et l'enregistreur de frappe de la machine compromise chaque fois que nécessaire.
DarkWatchman est distribué via des e-mails de spam déguisés en « notification d'expiration de stockage gratuite » pour une société de transport russe. Une prétendue facture sous la forme d'une archive ZIP est jointe aux e-mails, et cette pièce jointe contient la charge utile nuisible qui infecte le systèmeensuite. Une fois installé, le RAT fournit une passerelle pour des infections supplémentaires, et il peut même être utilisé comme prélude aux déploiements de ransomware.
Le créateur de DarkWatchman reste pour l'instant inconnu. Pourtant, il existe des indices selon lesquels l'acteur menaçant responsable de son apparition n'est pas de langue maternelle anglaise (erreurs typographiques, victimes situées en Russie, etc.). L'une des victimes connues est une grande organisation basée en Russie.
