Новое вредоносное ПО DarkWatchman использует реестр Windows, чтобы избежать обнаружения

В Интернете появилась новая вредоносная программа, которая может использовать реестр Windows для уклонения от обнаружения. Судя по тому, что мы уже собрали, эта вредоносная программа основана на JavaScript, а также Троян удаленного доступа (КРЫСА). Исследователи из Adversarial Counterintelligence Team (PACT) Prevailion решили назвать эту вредоносную программу DarkWatchman. Видите ли, он использует алгоритм генерации домена (DGA) для идентификации своей инфраструктуры управления и контроля и использует реестр Windows для хранения своих операций. Когда это будет сделано, вредоносная программа DarkWatchman сможет уклоняться от большинства механизмов защиты от вредоносных программ.

вредоносное ПО

Вредоносная программа DarkWatchman использует реестр Windows, чтобы избежать обнаружения

Итак, исследователи утверждают, что он использует некоторые интересные методы для обеспечения безфайлового сохранения активности системы наряду с динамическими возможностями выполнения.

Исследователи Мэтт Стаффорд и Шерман Смит утверждают, что вредоносное ПО «представляет собой эволюцию в Бесфайловое вредоносное ПО «

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Кто были целевыми жертвами?

Сотрудники Prevailion заявили, что вредоносная программа DarkWatchman RAT нацелена на крупную организацию в России. Было обнаружено несколько вредоносных артефактов, и все это началось еще 12 ноября 2021 года. Теперь, когда у него есть функции настойчивости и бэкдора, команда PACT пришла к выводу, что DarkWatchman может быть инструментом разведки, разработанным и используемым группами вымогателей, стремящимися заработать миллионы долларов.

«Хранение двоичного файла в реестре в виде закодированного текста означает, что DarkWatchman является постоянным, но его исполняемый файл никогда (постоянно) не записывается на диск; это также означает, что операторы DarkWatchman могут обновлять (или заменять) вредоносное ПО при каждом его запуске », по мнению исследователей.

На данный момент это вредоносное ПО RAT еще не связано с какой-либо известной хакерской группой. Тем не менее, исследовательская группа считает, что команда, стоящая за ним, является способным исполнителем угрозы.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.