Há um novo malware em roaming na Internet que é capaz de usar o Registro do Windows para evitar a detecção. Pelo que coletamos até agora, esse malware é baseado em JavaScript e também é um Trojan de acesso remoto (RAT). Pesquisadores da Adversarial Counterintelligence Team (PACT) da Prevailion decidiram chamar esse malware de DarkWatchman . Veja bem, ele aproveita o algoritmo de geração de domínio (DGA) para identificar sua infraestrutura de comando e controle e usa o Registro do Windows para armazenar suas operações. Quando isso é feito, o malware DarkWatchman consegue escapar da maioria dos mecanismos antimalware.
Malware DarkWatchman usa o Registro do Windows para evitar a detecção
OK, então os pesquisadores afirmam que ele utiliza alguns métodos interessantes para executar persistência sem arquivo na atividade do sistema, juntamente com habilidades dinâmicas de tempo de execução.
Os pesquisadores Matt Stafford e Sherman Smith afirmam que o malware “representa uma evolução nas técnicas de malware sem arquivo , pois usa o registro para quase todo armazenamento temporário e permanente e, portanto, nunca grava nada no disco, permitindo que ele opere abaixo ou em torno do limite de detecção da maioria ferramentas de segurança”.
Quem foram as vítimas visadas?
O pessoal da Prevailion afirmou que o malware DarkWatchman RAT tinha como alvo uma grande organização na Rússia. Vários artefatos de malware foram identificados e tudo isso começou em 12 de novembro de 2021. Agora, como possui recursos de persistência e backdoor, a equipe do PACT concluiu que o DarkWatchman poderia ser uma ferramenta de reconhecimento projetada e usada por grupos de ransomware que desejam ganhar milhões de dólares.
“O armazenamento do binário no registro como texto codificado significa que o DarkWatchman é persistente, mas seu executável nunca é (permanentemente) gravado em disco; isso também significa que os operadores do DarkWatchman podem atualizar (ou substituir) o malware toda vez que ele for executado”, segundo os pesquisadores .
No momento, esse malware RAT ainda não foi vinculado a nenhum grupo de hackers conhecido. No entanto, a equipe de pesquisa acredita que a equipe por trás disso é um ator de ameaças capaz.