Zuhause > Cyber ​​Aktuelles > Neuer DarkWatchman RAT-Trojaner für die Bereitstellung von Ransomware
CYBER NEWS

Neuer DarkWatchman RAT-Trojaner für die Bereitstellung von Ransomware

DarkWatchman-Trojaner-sensorstechforum.jpg
DarkWatchman ist der Name eines neuen JavaScript-basierten Fernzugriffstrojaners (RAT). Zur Zeit, die RAT wird über bösartige E-Mails in freier Wildbahn verbreitet. Die Malware verwendet den Algorithmus zur Domänengenerierung (DGA) Technik, um sein Kommando und seine Kontrolle zu identifizieren (C2) Infrastruktur. Es verwendet auch neuartige Tricks, um dateilose Persistenz zu erreichen, On-System-Aktivität, und dynamische Laufzeitfunktionen wie Selbstaktualisierung und Neukompilierung, laut dem Adversarial Counterintelligence Team von Prevailion.




DarkWatchman Fernzugriffs-Trojaner: Technische Daten

DarkWatchman wird derzeit in einer bösartigen E-Mail-Kampagne verbreitet. Seine Verbreitung beruht auf dateilosen Malware-Techniken, wo es die Registrierung für die temporäre und dauerhafte Speicherung verwendet. Mit anderen Worten, die Malware schreibt nichts auf die Festplatte, wodurch die Erkennung für die meisten Sicherheitssoftwares nahezu unmöglich ist. Die Forscher haben die DGA-Mechanismen, die die Malware verwendet, erfolgreich zurückentwickelt, Durchführung einer dynamischen Analyse sowie Untersuchung der webbasierten Infrastruktur.

Eine der vom Team analysierten E-Mails enthielt die folgende Betreffzeile – „Benachrichtigung zum Ablauf des kostenlosen Speichers“ – und sollte so aussehen, als käme sie von „ponyexpress“.[.]ähm". Der Text der E-Mail wurde auf Russisch verfasst.

"Vor allem, es bezog sich auf die (böswillig) Befestigung, ein Ablauf des kostenlosen Speichers, und behauptete, von Pony Express zu sein (wodurch die gefälschte Absenderadresse weiter verstärkt wird).
Jedoch, eine Analyse der E-Mail-Header zeigt an, dass die Nachricht aus dem Header stammt: “rentbikespb[.]ru“-Domain, wie durch den folgenden Header belegt: "Erhalten: von rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; was bedeutet, dass der Absender wahrscheinlich gefälscht ist," Bericht von PACT sagte.

Basierend auf einer detaillierten Analyse, die Forscher erstellten eine Zeitleiste des Angriffs, die im November entstanden zu sein scheint 12:

Zusammen genommen, die VirusTotal-Einsendungen der Proben, die Proben selbst, die ZIP mit den Mustern (als Verbreitungsmechanismus per E-Mail-Anhang beobachtet), sowie der RAR-Container (siehe später in diesem Bericht im Abschnitt Analyse) bilde eine Zeitleiste beginnend am 12 November.

DarkWatchman RAT wird mit einem Keylogger geliefert

Es scheint, dass die DarkWatchman-Trojaner-Kampagne für den Fernzugriff auf „zahlreiche Subdomains abzielt, die darauf hindeuten können, dass es sich um eine Organisation der Unternehmensgröße handelt“ in einer Spear-Phishing-Operation.

Weiter, die Malware ist mit einem C#-Keylogger gekoppelt. Es ist bemerkenswert, dass sowohl der RAT als auch der Keylogger leicht sind, mit einer Reihe bemerkenswerter erweiterter Funktionen, die es von den meisten gängigen Malware unterscheiden. Um die Erkennung zu umgehen, DarkWatchman setzt auf neuartige Tricks der Datenübertragung zwischen Modulen, sowie die Verwendung von LOLbins. Ihr erstes Ziel scheint eine russischsprachige Person oder Organisation zu sein. Jedoch, sein Skript ist mit englischen Variablen- und Funktionsnamen geschrieben.

Abschließend, Es ist davon auszugehen, dass DarkWatchman ein Tool für den Erstzugriff ist, das Ransomware-Gruppen oder -Partnern dient.




Mehr über den anfänglichen Netzwerkzugriff

A 2020 Bericht enthüllte mehr über der Preis für den erstmaligen Netzzugang dass Cyberkriminelle Unternehmen ins Visier nehmen müssen.

Der anfängliche Netzwerkzugriff führt dazu, dass böswillige Hacker im Netzwerk eines Unternehmens auftreten. Bedrohungsschauspieler, die es verkaufen (bekannt als "Erstzugangsmakler") eine Brücke zwischen opportunistischen Kampagnen und gezielten Angreifern schlagen. Meistens, Dies sind Ransomware-Betreiber. KELA-Forscher erfolgreich indiziert 108 Netzwerkzugriffslisten, die letzten Monat in beliebten Hacking-Foren geteilt wurden. Der Gesamtwert des geforderten Preises lag darüber $500,000.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau