Обнаружившие новый троянец DarkWatchman эксперты полагают, что он используется для первичной компрометации для дальнейшего запуска шифровальщиков. Модуль кейлоггера DarkWatchman хранит прямо в системном реестре.

Темный соглядатай

Бесфайловый RAT-троянец и кейлоггер DarkWatchman атакует российские организации. Его разработчики предположительно также говорят на русском языке, указывают исследователи компании Prevailion.

Первые сведения о существовании DarkWatchman появились в ноябре 2021 г., указывает издание Bleeping Computer. Тогда злоумышленники начали распространять вредонос через фишинговые рассылки внутри прилагаемого ZIP-архива.

Архив содержит исполняемый файл с иконкой, имитирующей текстовый документ; исполняемый файл представляет собой еще один, самораспаковывающийся, архив WinRAR, из которого уже устанавливаются RAT-троянец, написанный на JavaScript, и кейлоггер, написанный на C#.

При открытии появляется всплывающее окно с сообщением «неизвестный формат», но в реальности в этот момент в фоновом режиме устанавливаются вредоносы.

RAT-троянец очень мал по размерам — всего 32 килобайта; при компиляции — 8,5 килобайт. Как отмечают выявившие его эксперты, он использует множество легитимных программ, скриптов и библиотек и применяет различные методы скрытой передачи данных между отдельными модулями.

Прямо в системном реестре

Самая выдающаяся особенность DarkWatchman — это использование системного реестра Windows для хранения кейлоггера: вместо того, чтобы хранить его на диске, создается новая запись в диспетчере задач, которая запускает RAT-троянец при каждом входе пользователя в Windows.

При запуске DarkWatchman активирует скрипт PowerShell, который компилирует кейлоггер, используя команду .NETCSC.exe, и загружает его в память. Исходный код кейлоггера при этом хранится именно в системном реестре под видом команды PowerShell. Там же хранится информация о нажатиях клавиш.

«Сам по себе кейлоггер не устанавливает связь с контрольным сервером и не записывает данные на диск, — пишут исследователи. — Вместо этого перехваченные данные сохраняются в ключе системного реестра, используемого в качестве буфера. Во время работы RAT извлекает данные и очищает буфер, прежде чем переслать информацию о перехваченных нажатиях клавиш на контрольный сервер».

Операторы DarkWatchman используют алгоритмы генерации доменных имен (DGA) и создают до 500 различных доменов ежедневно. Это обеспечивает им высокую сопротивляемость попыткам противодействия и значительно затрудняет мониторинг и анализ вредоноса.

Многофункциональный шпион

Функциональность DarkWatchman предусматривает такие операции как запуск EXE-файлов, загрузку библиотек DLL, запуск команд через командную строку, запуск WSH-команд и команд через WMI, запуск команд PowerShell, загрузку файлов на контрольный сервер, удаленную остановку и удаление и троянца, и кейлоггера, удаленное обновление адреса контрольного сервера, удаленное же обновления самих троянца и кейлоггера, а также создание автозапуска JavaScript при запуске RAT.

Если скомпрометированный пользователь обладает административными полномочиями, троянец удаляет теневые копии, используя vssadmin.exe.

Эксперты Prevailion предполагают, что, поскольку вредонос способен загружать дополнительные модули извне, DarkWatchman — это прежде всего инструмент первичной компрометации, открывающий путь для будущих атак шифровальщиков. Вероятно, речь будет идти об атаках, в которых в задачу партнеров шифровальных группировок будет входить только проникновение в целевую сеть, а загрузку шифровальщика будет осуществлять уже его непосредственный оператор.

«Данный троянец использует весьма новаторские средства обеспечения своей скрытности и устойчивого пребывания в системе, и хотя последующая атака с помощью шифровальщика выглядит наиболее реалистичным сценарием, он отнюдь не единственный, — говорит Алексей Водясов, технический директор компании SEQ. — Скрытый доступ с кейлоггером позволяет также в течение длительного срока выводить данные из скомпрометированной сети, то есть, обеспечивает своим операторам широкие шпионские возможности».