DarkWatchman es un troyano de acceso remoto que se distribuye a través de una campaña de spear-phishing y destaca por usar una manipulación única del Registro de Windows para evadir la mayoría de las detecciones de seguridad, lo que demuestra una evolución significativa en las técnicas de malware sin archivos.
Descubierto por investigadores del Equipo de Contrainteligencia de Prevailion, usa el registro de Windows para el almacenamiento temporal de la máquina y nunca escribe código en la unidad de almacenamiento. Ello le permite «operar por debajo o alrededor del umbral de detección de la mayoría de las herramientas de seguridad», describen los investigadores.
MS Recomienda
Además de su persistencia sin archivos, DarkWatchman también utiliza un algoritmo de generación de dominios (DGA) «robusto» para identificar su infraestructura de comando y control (C&C) e incluye capacidades dinámicas de tiempo de ejecución como la actualización automática y la recopilación.
Los investigadores encontraron una muestra maliciosa del troyano de acceso remoto vinculada al certificado en la lista negra a través de VirusTotal, lo que llevó al descubrimiento de otro dominio asociado alojado en una dirección IP búlgara asociada con la red del ISP búlgaro Belcloud LTD. Ello permitió averiguar que se distribuía a través de una campaña de spear-phishing.
El diseño de DarkWatchman demuestra que sus creadores conocen al detalle el registro de Windows, observaron los investigadores. El RAT usa el mismo de una manera «particularmente novedosa» para comunicarse entre subprocesos de operación y como almacenamiento tanto persistente como temporal.
«Parece que los autores de DarkWatchman identificaron y aprovecharon la complejidad y opacidad del Registro de Windows para trabajar por debajo o alrededor del umbral de detección de herramientas de seguridad y analistas por igual«, escribieron los investigadores. «Los cambios en el registro son comunes y puede ser difícil identificar qué cambios son anómalos o están fuera del alcance de las funciones normales del sistema operativo y el software«.
DarkWatchman para iniciar Ransomware
Debido a ciertos aspectos de su funcionalidad, los investigadores creen que los diseñadores de ataques de Ransomware y sus afiliados están utilizando este troyano «como una carga útil inicial de primera etapa para la implementación en el acceso inicial a la red«.
Una hipótesis interesante es que los operadores de ransomware podrían proporcionarlo a sus afiliados menos capaces tecnológicamente, y una vez que se afiancen en los sistemas, se comuniquen automáticamente con los dominios que controla el operador. Un desarrollo significativo este DarkWatchman ya que «representa una evolución en las técnicas de malware sin archivos, entre otras características novedosas, que lo hacen particularmente preocupante«. Informe | Prevailion.
Fuente obtenida de: https://www.muyseguridad.net/2021/12/18/darkwatchman-rat-ransomware/
