Casa > cibernético Notícias > Novo Trojan DarkWatchman RAT usado para implantação de Ransomware
CYBER NEWS

Novo cavalo de Troia DarkWatchman RAT usado para implantação de ransomware

DarkWatchman-Trojan-sensorstechforum.jpg
DarkWatchman é o nome de um novo cavalo de Tróia de acesso remoto baseado em JavaScript (RATO). atualmente, o RAT está sendo distribuído em liberdade por meio de e-mails maliciosos. O malware usa o algoritmo de geração de domínio (DGA) técnica para identificar seu Comando e Controle (C2) a infraestrutura. Ele também usa novos truques para obter persistência sem arquivo, atividade no sistema, e recursos dinâmicos de tempo de execução, como autoatualização e recompilação, de acordo com a Equipe de Contra-espionagem Adversarial da Prevailion.




DarkWatchman Remote Access Trojan: Detalhes técnicos

DarkWatchman está atualmente espalhado em uma campanha de e-mail maliciosa. Sua distribuição depende de técnicas de malware sem arquivo, onde usa o registro para armazenamento temporário e permanente. Em outras palavras, o malware não grava nada no disco, tornando sua detecção quase impossível para a maioria dos softwares de segurança. Os pesquisadores fizeram a engenharia reversa com sucesso dos mecanismos de DGA que o malware usa, realizando uma análise dinâmica, bem como investigando sua infraestrutura baseada na web.

Um dos e-mails que a equipe analisou continha o seguinte assunto – “Notificação de expiração de armazenamento gratuito” - e foi projetado para aparecer como se viesse de “ponyexpress[.]ru ". O corpo do e-mail foi escrito em russo.

"Notavelmente, referenciou o (malicioso) anexo, uma expiração de armazenamento gratuito, e alegou ser da Pony Express (assim, reforçando ainda mais o endereço do remetente falsificado).
Contudo, uma análise dos cabeçalhos do e-mail indica que a mensagem se originou do cabeçalho: “Rentbikespb[.]ru ”domínio conforme evidenciado pelo seguinte cabeçalho: "Recebido: de rentbikespb[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])”; o que significa que o remetente provavelmente foi falsificado,” Relatório do PACT disse.

Com base em uma análise detalhada, os pesquisadores criaram uma linha do tempo do ataque, que parece ter se originado em novembro 12:

Tomados em conjunto, os envios do VirusTotal das amostras, as próprias amostras, o ZIP contendo as amostras (observado como um mecanismo de disseminação via anexo de e-mail), bem como o contêiner RAR (visto mais tarde neste relatório na seção Análise) formar uma linha do tempo começando em 12 novembro.

DarkWatchman RAT vem com um keylogger

Parece que a campanha de trojan de acesso remoto DarkWatchman tem como alvo “vários subdomínios que podem indicar que se trata de uma organização de porte empresarial” em uma operação de spear-phishing.

além disso, o malware está emparelhado com um keylogger C #. É digno de nota que tanto o RAT quanto o keylogger são leves, contendo uma série de recursos avançados notáveis ​​que o diferenciam dos malwares mais comuns. Para contornar a detecção, DarkWatchman conta com novos truques de transferência de dados entre módulos, bem como usar LOLbins. Seu alvo inicial parece ser uma pessoa ou organização que fala russo. Contudo, seu script é escrito com variáveis ​​em inglês e nomes de funções.

Em conclusão, é seguro presumir que DarkWatchman é uma ferramenta de acesso inicial que atende grupos de ransomware ou afiliados.




Mais sobre o acesso inicial à rede

UMA 2020 relatório revelou mais sobre o preço do acesso inicial à rede que os cibercriminosos precisam ter como alvo as organizações.

O acesso inicial à rede é o que leva hackers mal-intencionados para dentro da rede de uma organização. Atores de ameaça que estão vendendo isso (conhecidos como “corretores de acesso inicial”) crie uma ponte entre campanhas oportunistas e atacantes direcionados. Na maioria dos casos, estes são operadores de ransomware. Pesquisadores KELA indexados com sucesso 108 listagens de acesso à rede compartilhadas em fóruns de hackers populares no mês passado. O valor total do preço exigido estava acima $500,000.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo