48 3052-8500

DarkWatchman, o malware furtivo oculto no registro do Windows - OSTEC | Segurança digital de resultados

Geral 3min de Leitura - 23 de dezembro de 2021

DarkWatchman, o malware furtivo oculto no registro do Windows

darkwatchman malware windows

This post is also available in: Português

Recentemente, os especialistas da Prevailion – empresa de segurança cibernética – detectaram uma nova linhagem de malware, chamada de DarkWatchman, escondida no registro do Windows.

Esse componente malicioso recém descoberto é uma fusão entre um JavaScript RAT (Cavalo de Troia de acesso remoto) e um keylogger C#. Ele possui uma estrutura relativamente leve, mas o potencial destrutivo do DarkWatchman é alto.

Os primeiros sinais da existência do DarkWatchman apareceram no início de novembro, quando os cibercriminosos por trás da ameaça começaram a distribuir o malware por meio de e-mails de phishing com anexos ZIP maliciosos.

zip malicioso
Imagem retirada de: Prevailion

Esses anexos de arquivo ZIP contêm um executável usando um ícone para representar um documento de texto. O executável se trata de um arquivo WinRAR de instalação automática, que instalará o RAT e o Keylogger.

2
Imagem retirada de: Prevailion

Se aberto, o usuário verá uma mensagem Pop-up que diz “Formato desconhecido”, porém, as cargas úteis já foram instaladas em segundo plano.

RAT fileless

O DarkWatchman é um malware leve e sem arquivos, visto que o Trojan de acesso remoto JavaScript ocupa apenas 32 kBs, enquanto sua versão compilada mede apenas 8,5 kBs.

Ele conta com o mecanismo de armazenamento do Registro do Windows para que, em vez de armazenar o keylogger em um disco, o malware crie uma tarefa agendada para executar o RAT cada vez que o usuário fizer login no Windows.

O componente malicioso também foi visto usando uma infinidade de bibliotecas, scripts e binários (living off the land) durante a execução de transferências secretas de dados entre os módulos.

3
Imagem retirada de: Prevailion

Uma vez iniciado, o DarkWatchman executará um script PowerShell que compila o keylogger usando o comando .NET CSC .exe e o inicia na memória.

Segundo a explicação dos pesquisadores da Prevailion, Matt Stafford e Sherman Smith, em seu relatório, o Keylogger é distribuído como código fonte C# ofuscado, que é processado e armazenado no registro como um comando do PowerShell codificado em Base64. Quando o RAT é iniciado, ele executa este script do PowerShell que, por sua vez, compila o keylogger (usando CSC) e o executa.

O keylogger em si não se comunica com o C2, nem grava no disco. Em vez disso, ele grava seu keylog em uma chave de registro que usa como buffer. Durante sua operação, o RAT raspa e limpa esse buffer antes de transmitir os pressionamentos de tecla registrados para o servidor C2.

4
Imagem retirada de: Prevailion

O malware usa o registro não apenas para ocultar o código codificado do executável, mas também como um local temporário para despejar os dados coletados antes que sejam exfiltrados.

Os cibercriminosos por trás do DarkWatchman contam com DGA (Domain Generation Algorithms) combinado com uma lista propagada de 10 itens para ajuda-los a gerar até 500 domínios diariamente. Dessa forma, o malware é mais resistente e mais difícil de analisar e monitorar sua comunicação.

DarkWatchman oferece suporte as seguintes funcionalidades:

  • Executar arquivos EXE (com ou sem a saída retornada);
  • Carregar arquivos DLL;
  • Executar comandos na linha de comando;
  • Executar comandos WSH;
  • Executar comandos diversos via WMI;
  • Executar comandos do PowerShell;
  • Avaliar o JavaScript;
  • Fazer upload de arquivos para o servidor C2 a partir da máquina da vítima;
  • Parar e desinstalar remotamente o RAT e o Keylogger;
  • Atualizar remotamente o endereço do servidor C2 ou tempo limite de call home;
  • Atualizar o RAT e o Keylogger reotamente;
  • Definir um JavaScript de inicialização automática para ser executado na inicialização do RAT;
  • Um algoritmo de geração de domínio (DGA) para resiliência C2;
  • Se o usuário tiver permissões de administrador, ele exclui as cópias de sombra usando vssdmin.exe.

DarkWatchman pode ser um ransomware?

A Prevailion teoriza que o DarkWatchman pode ser adaptado por e para grupos de ransomware que precisam capacitar seus afiliados menos capazes com uma ferramenta potente e furtiva.

O malware pode carregar cargas adicionais remotamente, portanto, pode ser usado como uma infecção furtiva de primeiro estágio para a implantação subsequente de ransomware.

Como o DarkWatchman pode se comunicar com domínios controlados pelo cibercriminoso após a posição inicial, o operador do ransomware pode assumir e implantar o ransomware ou lidar com a exfiltração do arquivo diretamente.

Essa abordagem degradaria o papel do afiliado ao de um “infiltrador de rede” e ao mesmo tempo, tornaria as operações RaaS mais clínicas e eficientes.

Fontes: Privailion, BitDefender.

This post is also available in: Português

Ataques de phishing falsificam identidade da Pfizer

Postagem anterior