DarkWatchman est le nom d'un nouveau cheval de Troie d'accès à distance basé sur JavaScript (RAT). Actuellement, le RAT est distribué dans la nature via des e-mails malveillants. Le malware utilise l'algorithme de génération de domaine (DGA) technique pour identifier son commandement et son contrôle (C2) Infrastructure. Il utilise également de nouvelles astuces pour obtenir une persistance sans fichier, activité sur le système, et des capacités d'exécution dynamiques telles que la mise à jour automatique et la recompilation, selon l'équipe de contre-espionnage adverse de Prevailion.
Cheval de Troie d'accès à distance DarkWatchman: Détails techniques
DarkWatchman est actuellement diffusé dans une campagne d'e-mails malveillants. Sa distribution repose sur des techniques de malware sans fichier, où il utilise le registre pour le stockage temporaire et permanent. En d'autres termes, le malware n'écrit rien sur le disque, rendant sa détection presque impossible pour la plupart des logiciels de sécurité. Les chercheurs ont réussi à rétro-concevoir les mécanismes DGA utilisés par les logiciels malveillants, effectuer une analyse dynamique et enquêter sur son infrastructure Web.
L'un des e-mails analysés par l'équipe contenait la ligne d'objet suivante – "Notification d'expiration de stockage gratuite" - et a été conçu pour apparaître comme s'il provenait de "ponyexpress[.]ru". Le corps de l'e-mail a été rédigé en russe.
« Notamment, il faisait référence au (mal intentionné) attachement, une expiration du stockage gratuit, et prétendu être de Pony Express (renforçant ainsi encore l'adresse d'expéditeur falsifiée).
Cependant, une analyse des en-têtes des e-mails indique que le message provient de l'en-tête: “location de vélosspb[.]ru" comme en témoigne l'en-tête suivant: "A reçu: de rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; ce qui signifie que l'expéditeur est probablement usurpé," Rapport de PACT dit.
Sur la base d'une analyse détaillée, les chercheurs ont créé une chronologie de l'attaque, qui semble avoir pris naissance en novembre 12:
Pris ensemble, les soumissions VirusTotal des échantillons, les échantillons eux-mêmes, le ZIP contenant les échantillons (observé comme un mécanisme de diffusion via une pièce jointe à un e-mail), ainsi que le conteneur RAR (vu plus loin dans ce rapport sous la section Analyse) former une chronologie commençant le 12 Novembre.
DarkWatchman RAT est livré avec un enregistreur de frappe
Il semble que la campagne de chevaux de Troie d'accès à distance DarkWatchman cible "de nombreux sous-domaines qui peuvent indiquer qu'il s'agit d'une organisation de la taille d'une entreprise" dans une opération de spear-phishing.
En outre, le malware est associé à un keylogger C#. Il est à noter que le RAT et le keylogger sont légers, contenant un certain nombre de fonctionnalités avancées notables qui le distinguent des logiciels malveillants les plus courants. Pour contourner la détection, DarkWatchman s'appuie sur de nouvelles astuces de transfert de données entre modules, ainsi que l'utilisation de LOLbins. Sa cible initiale semble être une personne ou une organisation russophone. Cependant, son script est écrit avec des noms de variables et de fonctions en anglais.
En conclusion, il est prudent de supposer que DarkWatchman est un outil d'accès initial qui sert des groupes de ransomware ou des sociétés affiliées.
En savoir plus sur l'accès initial au réseau
Une 2020 rapport a révélé plus sur le prix de l'accès initial au réseau dont les cybercriminels ont besoin pour cibler les organisations.
L'accès initial au réseau est ce qui permet aux pirates malveillants d'accéder au réseau d'une organisation. Les acteurs de la menace qui le vendent (connu sous le nom de «courtiers d'accès initial») créer un pont entre les campagnes opportunistes et les attaquants ciblés. Dans la plupart des cas, ce sont des opérateurs de ransomware. Les chercheurs de KELA indexés avec succès 108 listes d'accès au réseau partagées sur les forums de piratage populaires le mois dernier. La valeur totale du prix demandé était supérieure $500,000.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: