DarkWatchmanマルウェア

DarkWatchmanは、JavaScriptに基づく新しいリモートアクセストロイの木馬（RAT）であり、積極的なソーシャルエンジニアリングキャンペーンを通じて広まりました。このマルウェアは、検出と分析を回避するための特定の「ファイルレス」技術を採用しています。また、コマンドアンドコントロールインフラストラクチャの識別に復元力のあるドメイン生成アルゴリズム（DGA）を使用し、脅威となる操作のほぼすべての一時的および永続的なストレージにWindowsレジストリを使用することで、ほとんどのマルウェア対策ソリューションをバイパスします。 DarkWatchmanは、感染したコンピューターのディスクに何も書き込まないため、多くのセキュリティスキャナーで検出できないままです。

JavaScript RATコンポーネントに加えて、新しいマルウェアにはC＃ベースのキーロガーもあります。マルウェアのキーロガーコンポーネントは、検出を回避するためにレジストリに保存されているため、両方のコンポーネントが非常に軽量です。インストールすると、DarkWatchmanは、任意のバイナリの実行、DLLファイルのロード、JavaScriptコードやPowerShellコマンドの実行など、さまざまな操作を実行できます。必要に応じて、侵入先のマシンからRATとキーロガーをアンインストールすることもできます。

DarkWatchmanは、ロシアの運送会社向けに「無料ストレージの有効期限通知」を装ったスパムメールで配信されます。 ZIPアーカイブ形式の請求書が電子メールに添付されており、その添付ファイルには、システムに感染する有害なペイロードが含まれています。その後。インストールされると、RATは追加の感染に対するゲートウェイを提供し、ランサムウェア展開の前置きとしても使用できます。

DarkWatchmanの作成者は今のところ不明のままです。それでも、その出現の原因となった脅威アクターが英語を母国語としないという手がかりがあります（誤植、ロシアにいる犠牲者など）。既知の被害者の1人は、ロシアに拠点を置く大規模な組織です。