Huis > Cyber ​​Nieuws > Nieuwe DarkWatchman RAT-trojan gebruikt voor implementatie van ransomware
CYBER NEWS

Nieuwe DarkWatchman RAT-trojan gebruikt voor implementatie van ransomware

door   |  Last Update:  |  0 Reacties  

DarkWatchman-Trojan-sensorstechforum.jpg
DarkWatchman is de naam van een nieuwe op JavaScript gebaseerde trojan voor externe toegang (RAT). Momenteel, de RAT wordt in het wild verspreid via kwaadaardige e-mails. De malware gebruikt het algoritme voor het genereren van domeinen (DGA) techniek om de Command and Control te identificeren (C2) infrastructuur. Het gebruikt ook nieuwe trucs om bestandloze persistentie te bereiken, activiteit op het systeem, en dynamische runtime-mogelijkheden zoals zelf-updaten en opnieuw compileren, volgens het Adversarial Counterintelligence Team van Prevailion.




DarkWatchman Trojan voor externe toegang: Technische Details

DarkWatchman wordt momenteel verspreid in een kwaadaardige e-mailcampagne. De distributie ervan is gebaseerd op bestandsloze malwaretechnieken, waar het het register gebruikt voor tijdelijke en permanente opslag. Met andere woorden, de malware schrijft niets naar schijf, waardoor detectie bijna onmogelijk is voor de meeste beveiligingssoftware. De onderzoekers hebben met succes de DGA-mechanismen die de malware gebruikt, reverse-engineered, het uitvoeren van een dynamische analyse en het onderzoeken van de webgebaseerde infrastructuur.

Een van de e-mails die het team analyseerde, bevatte de volgende onderwerpregel: – "Melding van verlopen van gratis opslag" - en is ontworpen om te verschijnen alsof het afkomstig is van "ponyexpress[.]ru". De hoofdtekst van de e-mail is in het Russisch geschreven.

"Opmerkelijk, het verwees naar de (kwaadaardig) gehechtheid, een vervaldatum van gratis opslag, en beweerde van Pony Express te zijn (waardoor het vervalste afzenderadres verder wordt versterkt).
Echter, een analyse van de e-mailheaders geeft aan dat het bericht afkomstig is uit de header: “rentbikespb[.]ru" domein zoals blijkt uit de volgende header: "Hebben ontvangen: van rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])"; wat betekent dat de afzender waarschijnlijk is vervalst," PACT's rapport zei.

Op basis van een gedetailleerde analyse, hebben de onderzoekers een tijdlijn van de aanval gemaakt, die lijkt te zijn ontstaan ​​in november 12:

Bij elkaar genomen, de VirusTotal-inzendingen van de monsters, de monsters zelf, de ZIP met de voorbeelden (waargenomen als een verspreidingsmechanisme via e-mailbijlage), evenals de RAR-container (later in dit rapport te zien onder de sectie Analyse) een tijdlijn vormen die begint op 12 November.

DarkWatchman RAT wordt geleverd met een keylogger

Het lijkt erop dat de trojan-campagne voor externe toegang van DarkWatchman zich richt op "talloze subdomeinen die erop kunnen wijzen dat het een organisatie van grote omvang is" in een spear-phishing-operatie.

Bovendien, de malware is gekoppeld aan een C# keylogger. Het is opmerkelijk dat zowel de RAT als de keylogger lichtgewicht zijn, met een aantal opmerkelijke geavanceerde functies die het onderscheiden van de meest voorkomende malware. Om detectie te omzeilen, DarkWatchman vertrouwt op nieuwe trucs voor gegevensoverdracht tussen modules, evenals het gebruik van LOLbins. Het eerste doelwit lijkt een Russisch sprekende persoon of organisatie te zijn. Echter, het script is geschreven met Engelse variabele- en functienamen.

Tenslotte, het is veilig om aan te nemen dat DarkWatchman een eerste toegangstool is die ransomware-groepen of gelieerde ondernemingen bedient.




Meer over initiële netwerktoegang

Een 2020 rapport onthuld meer over de prijs van initiële netwerktoegang die cybercriminelen nodig hebben om organisaties te targeten.

Initiële netwerktoegang is wat kwaadwillende hackers binnen het netwerk van een organisatie krijgt. Bedreigende acteurs die het verkopen (bekend als "initial access brokers") een brug slaan tussen opportunistische campagnes en gerichte aanvallers. Meestal, dit zijn ransomware-operators. KELA-onderzoekers hebben met succes geïndexeerd 108 netwerktoegangslijsten die vorige maand op populaire hackforums zijn gedeeld. De totale waarde van de gevraagde prijs was hoger $500,000.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Verwijderen Warzone RAT Is Warzone RAT een Trojaans paard? Does Warzone RAT harm...
  2. Verwijder Cardinal RAT van uw pc Wat is Cardinal RAT? How to remove Cardinal RAT from...
  3. 888 RAT-virus – Gids van de Verwijdering Wat is 888 RAT-trojan? 888 RAT Trojan is a...
  4. 404 Gids op Keylogger Mac Virus verwijderen 404 Keylogger 404 Keylogger is een uitvoerbaar bestand, een keylogger...
  5. Spectre RAT-verwijdering Wat is Spectre RAT Spectre RAT is wat je kunt...
  6. Refog Keylogger Virus Mac verwijderingsgids Refog Keylogger Een keylogging-softwareprogramma genaamd Refog Keylogger heeft ...
  7. Borat RAT kan ransomware verspreiden, Audio en video opnemen, en DDoS uitvoeren Beveiligingsonderzoekers meldden een nieuwe malwarestam, capable of distributing...
  8. RAT Software Scam Virus (E-mail Blackmail) - Hoe te verwijderen Wat is de “RAT Software” scam e-mail? Wat zijn de...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens