Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

DarkWatchman: A Lightweight and Stealthy RAT With Keylogger

Forskare vid Prevailion har upptäckt en ny fjärråtkomsttrojan vid namn DarkWatchman, som kan bilda bakdörrar, dumpa nyttolaster och stjäla information från det riktade systemet.

DarkWatchman, som ursprungligen spreds genom nätfiskekampanjer, innehåller en RAT och en keylogger. Detta beror på att det är så lätt och smygande, säger forskare. DarkWatchman använder Windows-registrets fillösa lagring och gör alla sina operationer i hemlighet för att undvika upptäckt.

Ny RAT i Wild

Prevailionsforskare beskriver en nyfunnen RAT vid namn DarkWatchman, vars första fotspår sågs bland rysktalande hackare. Sedan november har detta fått stor spridning i underjordiska forum och är så lätt och smygande, säger forskare.

Enligt deras rapport, DarkWatchman sprids till en början genom nätfiske-e-postmeddelanden som innehåller en ZIP-fil med en textdokumentikon. Även om detta är för att imitera, är ZIP-filen faktiskt en körbar fil från WinRAR-arkivet som kan självinstallera nämnda RAT och en keylogger.

Läs även Sennheiser Data Leak

Om en intet ont anande användare öppnar filen, visar den ett lockbetsmeddelande som popup som “” när nyttolasten installeras i bakgrunden. Väl in skapar RAT en schemalagd uppgift i Windows-registret som ska köras varje gång offret går in i Windows-maskinen.

Detta gör att det går smygande, eftersom det inte installerar sig i den lokala lagringen. Men även om den är smyg, är DarkWatchman RAT också lätt. Den väger 32 KB, och den överensstämmande versionen väger bara 8,5 KB. Förutom fjärråtkomstfunktioner kommer DarkWatchman också med en C#-keylogger.

Och if utför sin plikt på ett utmärkt sätt. Efter att ha fångat tangenttryckningarna (data) kommunicerar keyloggern inte direkt med hackarens C2. Istället använde den Windows-registrets fillösa lagringsmekanism för att tillfälligt lagra och skicka de stulna data.

Dessutom hittas tillverkarna av DarkWatchman använda DGA (domängenereringsalgoritmer) med en seedad lista med 10 objekt för att generera upp till 500 domäner dagligen, vilket gör det svårare för röda hattar att spåra dem. Forskare sa att denna RAT är skräddarsydd för ransomware-grupper och förlitar sig mindre på mellanhänder som affiliates för första åtkomst.