DarkWatchman es el nombre de un nuevo troyano de acceso remoto basado en JavaScript (RATA). Actualmente, la RAT se distribuye de forma salvaje a través de correos electrónicos maliciosos. El malware utiliza el algoritmo de generación de dominios. (DGA) técnica para identificar su comando y control (C2) infraestructura. También utiliza trucos novedosos para lograr la persistencia sin archivos., actividad en el sistema, y capacidades dinámicas de tiempo de ejecución como la actualización automática y la recompilación, según el Equipo de Contrainteligencia Adversario de Prevailion.
Troyano de acceso remoto DarkWatchman: Detalles Técnicos
DarkWatchman se propaga actualmente en una campaña de correo electrónico maliciosa. Su distribución se basa en técnicas de malware sin archivos., donde usa el registro para almacenamiento temporal y permanente. En otras palabras, el malware no escribe nada en el disco, haciendo que su detección sea casi imposible para la mayoría del software de seguridad. Los investigadores realizaron con éxito la ingeniería inversa de los mecanismos DGA que utiliza el malware., realizar un análisis dinámico e investigar su infraestructura basada en la web.
Uno de los correos electrónicos que analizó el equipo contenía la siguiente línea de asunto – "Notificación de caducidad de almacenamiento gratuito", y se diseñó para que pareciera que procedía de "ponyexpress[.]ru ". El cuerpo del correo electrónico estaba escrito en ruso..
"Notablemente, hizo referencia al (malicioso) adjunto archivo, una expiración del almacenamiento gratuito, y afirmó ser de Pony Express (reforzando así aún más la dirección del remitente falsificada).
Sin embargo, un análisis de los encabezados de correo electrónico indica que el mensaje se originó en el encabezado: “Rentbikespb[.]ru ”como lo demuestra el siguiente encabezado: "Recibió: de rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; lo que significa que es probable que el remitente sea falso," Informe de PACT dijo.
Basado en un análisis detallado, los investigadores crearon una línea de tiempo del ataque, que parece haberse originado en noviembre 12:
Tomados en conjunto, las presentaciones de VirusTotal de las muestras, las muestras mismas, el ZIP que contiene las muestras (observado como un mecanismo de difusión a través de archivos adjuntos de correo electrónico), así como el contenedor RAR (visto más adelante en este informe en la sección Análisis) formar una línea de tiempo que comience en 12 Noviembre.
DarkWatchman RAT viene con un registrador de teclas
Parece que la campaña del troyano de acceso remoto DarkWatchman está dirigida a "numerosos subdominios que pueden indicar que se trata de una organización de tamaño empresarial" en una operación de spear-phishing..
Además, el malware está emparejado con un keylogger de C #. Cabe destacar que tanto el RAT como el keylogger son livianos, que contiene una serie de características avanzadas notables que lo distinguen del malware más común. Para evitar la detección, DarkWatchman se basa en nuevos trucos de transferencia de datos entre módulos, además de usar LOLbins. Su objetivo inicial parece ser una persona u organización de habla rusa.. Sin embargo, su script está escrito con nombres de funciones y variables en inglés.
En conclusión, Es seguro asumir que DarkWatchman es una herramienta de acceso inicial que sirve a grupos de ransomware o afiliados..
Más sobre el acceso inicial a la red
La 2020 informe reveló más sobre el precio del acceso inicial a la red que los ciberdelincuentes deben apuntar a las organizaciones.
El acceso inicial a la red es lo que hace que los piratas informáticos malintencionados entren en la red de una organización. Actores de amenazas que lo venden (conocidos como "agentes de acceso inicial") crear un puente entre las campañas oportunistas y los atacantes específicos. En la mayoría de los casos, estos son operadores de ransomware. Investigadores de KELA indexados con éxito 108 listados de acceso a la red compartidos en foros de piratería populares el mes pasado. El valor total del precio demandado estaba por encima $500,000.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: