Ένα νέο Trojan απομακρυσμένης πρόσβασης (RAT) που βασίζεται σε JavaScript και διαδίδεται μέσω μιας εκστρατείας κοινωνικής μηχανικής, έχει παρατηρηθεί ότι χρησιμοποιεί ύπουλες τεχνικές “χωρίς αρχεία” ως μέρος των μεθόδων αποφυγής εντοπισμού για να αποφύγει την ανακάλυψη και την ανάλυση.
Με την ονομασία DarkWatchman από τους ερευνητές της Ομάδας (PACT) της Prevailion, το κακόβουλο λογισμικό χρησιμοποιεί έναν ανθεκτικό αλγόριθμο δημιουργίας τομέων (DGA) για τον εντοπισμό της υποδομής εντολών και ελέγχου (C2) και χρησιμοποιεί το μητρώο των Windows για όλες τις λειτουργίες αποθήκευσης, επιτρέποντάς του έτσι να παρακάμπτει τις μηχανές antimalware.
Το RAT “χρησιμοποιεί νέες μεθόδους για τη διατήρηση χωρίς αρχεία, τη δραστηριότητα στο σύστημα και τις δυναμικές δυνατότητες εκτέλεσης, όπως η αυτο-ενημέρωση και η επανασύνταξη”, δήλωσαν οι ερευνητές Matt Stafford και Sherman Smith, προσθέτοντας ότι “αντιπροσωπεύει μια εξέλιξη στις τεχνικές κακόβουλου λογισμικού χωρίς αρχεία, καθώς χρησιμοποιεί το μητρώο για σχεδόν όλη την προσωρινή και μόνιμη αποθήκευση και επομένως δεν γράφει ποτέ τίποτα στο δίσκο, επιτρέποντάς του να λειτουργεί κάτω ή γύρω από το όριο ανίχνευσης των περισσότερων εργαλείων ασφαλείας”.
Η Prevailion δήλωσε ότι ένας μη κατονομαζόμενος οργανισμός στη Ρωσία ήταν ένα από τα στοχευμένα θύματα, με έναν αριθμό αντικειμένων κακόβουλου λογισμικού που εντοπίστηκαν από τις 12 Νοεμβρίου 2021. Δεδομένων των χαρακτηριστικών backdoor και persistence, η ομάδα PACT εκτίμησε ότι το DarkWatchman θα μπορούσε να είναι ένα εργαλείο αρχικής πρόσβασης και αναγνώρισης για χρήση από ομάδες ransomware.
[su_button url=”https://itechnews.gr/2020/04/itechnews-gr-tora-pia-episima-kai-sta-google/” target=”blank” style=”bubbles” background=”#5d9e17″ color=”#ffffff” size=”10″ wide=”yes” center=”yes” radius=”20″ icon=”https://itechnews.gr/wp-content/uploads/2021/08/google_news.jpg” icon_color=”#060606″ text_shadow=”2px 2px 2px #000000″ rel=”lightbox”]Ακολουθήστε το iTechNews.gr στο Google News! Παρακολουθήστε τα τελευταία νέα, τάσεις, αξεσουάρ και παρουσιάσεις[/su_button]
Μια ενδιαφέρουσα συνέπεια αυτής της νέας εξέλιξης είναι ότι εξαλείφει εντελώς την ανάγκη για τους χειριστές ransomware να στρατολογούν συνεργάτες, οι οποίοι είναι συνήθως υπεύθυνοι για την απόρριψη του κακόβουλου λογισμικού που κλειδώνει τα αρχεία και τον χειρισμό της εκχύλισης των αρχείων. Η χρήση του DarkWatchman ως προοίμιο για την ανάπτυξη ransomware εξοπλίζει επίσης τους βασικούς προγραμματιστές του ransomware με καλύτερη εποπτεία της επιχείρησης πέρα από τη διαπραγμάτευση των λύτρων.
[signoff]