DarkWatchman è il nome di un nuovo trojan di accesso remoto basato su JavaScript (RAT). Attualmente, il RAT viene distribuito in natura tramite e-mail dannose. Il malware utilizza l'algoritmo di generazione del dominio (DGA) tecnica per identificare il suo comando e controllo (C2) infrastruttura. Utilizza anche nuovi trucchi per ottenere la persistenza senza file, attività sul sistema, e capacità di runtime dinamiche come l'autoaggiornamento e la ricompilazione, secondo il team di controspionaggio contraddittorio di Prevailion.
Trojan di accesso remoto DarkWatchman: Dettagli tecnici
DarkWatchman è attualmente diffuso in una campagna di posta elettronica dannosa. La sua distribuzione si basa su tecniche di malware senza file, dove utilizza il registro per l'archiviazione temporanea e permanente. In altre parole, il malware non scrive nulla sul disco, rendendo il suo rilevamento quasi impossibile per la maggior parte dei software di sicurezza. I ricercatori hanno decodificato con successo i meccanismi DGA utilizzati dal malware, eseguire un'analisi dinamica e investigare la sua infrastruttura basata sul web.
Una delle e-mail analizzate dal team conteneva la seguente riga dell'oggetto – "Notifica di scadenza dello spazio di archiviazione gratuito" - ed è stato progettato per apparire come se provenisse da "ponyexpress[.]ru". Il corpo dell'e-mail è stato scritto in russo.
“In particolare, ha fatto riferimento a (maligno) allegati, una scadenza dello spazio di archiviazione gratuito, e ha affermato di essere di Pony Express (rafforzando così ulteriormente l'indirizzo del mittente contraffatto).
Tuttavia, un'analisi delle intestazioni delle email indica che il messaggio ha avuto origine dall'intestazione: “noleggio bicispb[.]ru" come evidenziato dalla seguente intestazione: "Ricevuto: da rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; il che significa che il mittente è probabilmente falsificato," Rapporto PACT disse.
Sulla base di un'analisi dettagliata, i ricercatori hanno creato una cronologia dell'attacco, che sembra aver avuto origine a novembre 12:
Presi insieme, gli invii VirusTotal dei campioni, i campioni stessi, lo ZIP contenente i campioni (osservato come un meccanismo di diffusione tramite allegati di posta elettronica), così come il contenitore RAR (visto più avanti in questo rapporto nella sezione Analisi) formare una linea temporale che inizia il 12 Novembre.
DarkWatchman RAT viene fornito con un keylogger
Sembra che la campagna del trojan di accesso remoto DarkWatchman stia prendendo di mira "numerosi sottodomini che potrebbero indicare che si tratta di un'organizzazione di dimensioni aziendali" in un'operazione di spear-phishing.
Inoltre, il malware è associato a un keylogger C#. È interessante notare che sia il RAT che il keylogger sono leggeri, contenente una serie di notevoli funzionalità avanzate che lo distinguono dal malware più comune. Per bypassare il rilevamento, DarkWatchman si affida a nuovi trucchi per il trasferimento dei dati tra i moduli, oltre a usare LOLbins. Il suo obiettivo iniziale sembra essere una persona o un'organizzazione di lingua russa. Tuttavia, il suo script è scritto con nomi di variabili e funzioni in inglese.
Insomma, è lecito ritenere che DarkWatchman sia uno strumento di accesso iniziale che serve gruppi o affiliati ransomware.
Ulteriori informazioni sull'accesso alla rete iniziale
La 2020 il rapporto ha rivelato di più su il prezzo dell'accesso alla rete iniziale che i criminali informatici hanno bisogno di prendere di mira le organizzazioni.
L'accesso alla rete iniziale è ciò che porta gli hacker dannosi all'interno della rete di un'organizzazione. Minaccia gli attori che lo vendono (noti come "broker di accesso iniziale") creare un ponte tra campagne opportunistiche e aggressori mirati. Nella maggior parte dei casi, questi sono operatori di ransomware. I ricercatori KELA sono stati indicizzati con successo 108 elenchi di accesso alla rete condivisi su popolari forum di hacking il mese scorso. Il valore totale del prezzo richiesto era superiore $500,000.