Новое Бесфайловое Вредоносное По Скрывается В Реестре Windows

Новое бесфайловое вредоносное ПО скрывается в реестре Windows

Обнаружен новый троян удаленного доступа (RAT), который распространяется посредством фишинговой кампании и скрывается от механизмов обнаружения с помощью техники «безфайлового» присутствия.

Исследователи из группы Prevailion Adversarial Counterintelligence (P.A.C.T) назвали эту вредоносную программу DarkWatchman. Программа определяет собственную C&C-инфраструктуру, используя стабильный алгоритм генерации домена ( ДГА ), при этом скрываясь в реестре, через который он также спокойно выполняет все свои операции с хранилищем.

По словам Шермана Смита, исследователя P.A.C.T:

«Троянец использует новейшие методы реализации бесфайлового присутствия и внутрисистемной активности, а также возможности динамического выполнения, такие как самообновление и перекомпиляция.
Он демонстрирует следующий шаг в развитии методов бесфайлового присутствия, поскольку реализует все операции с временным и постоянным хранилищем через системный реестр, не прибегая к записи на диск, что позволяет избежать обнаружения большинством средств безопасности.
Изменения в реестре происходят довольно часто, и может быть сложно определить, какие из них являются аномальными и выходят за рамки нормального поведения системы или программного обеспечения».

По данным Prevailion, среди жертв оказалась одна из российских корпораций, в которой начиная с 12 ноября 2021 года был обнаружен ряд вредоносных артефактов.

Сама организация не называется.

Учитывая характеристики проникновения в систему и длительное присутствие, команда P.A.C.T пришла к выводу, что DarkWatchman может использоваться хакерскими группами в качестве инструмента для проникновения в систему и шпионажа.

Интересным следствием этой последней разработки является то, что она полностью устраняет необходимость для операторов нанимать филиалов, которым обычно поручено доставлять вредоносное ПО, блокирующее файлы, а затем извлекать эти файлы.

Использование DarkWatchman на первом этапе развертывания программы-вымогателя позволяет разработчикам лучше контролировать всю операцию.

Новое бесфайловое вредоносное ПО скрывается в реестре Windows

функции, которые устанавливают кейлоггер в реестр Распространяемый через целевые фишинговые электронные письма, замаскированные под уведомление об «бесплатном истечении срока хранения» от российской логистической компании Pony Express, DarkWatchman создает скрытый шлюз для последующих вредоносных действий.

Сама полезная нагрузка троянца содержится в прикрепленном к письму ZIP-архиве, который представлен под видом счета-фактуры.

По своей сути DarkWatchman является двухкомпонентным — это одновременно JS-троян и C#-кейлоггер, последний из которых скрывается от обнаружения в реестре.

Оба компонента также чрезвычайно легкие.

JS-код занимает всего 32Кб, а кейлоггер едва достигает 8,5Кб.

«Сохранение двоичного файла в реестре в виде закодированного текста указывает на то, что Darkwatchman постоянно подключен, хотя он никогда не записывается навсегда в дисковую память.
Это также означает, что операторы вредоносного ПО могут обновлять (или заменять) программу каждый раз, когда она выполняется».
- сообщили исследователи.

После установки DarkWatchman может запускать произвольные исполняемые файлы, загружать библиотеки DLL, выполнять код JS и даже самоуничтожаться с компьютера.

Его JS-подпрограмма также отвечает за обеспечение безопасности в системе путем создания запланированного задания, которое запускает вредоносное ПО каждый раз, когда пользователь входит в систему.

В отчете также говорится, что:

«Сам кейлоггер не общается с C&C и не записывает информацию на диск.
Вместо этого он записывает журнал в раздел реестра, который используется в качестве буфера.
В ходе операции троянец считывает и очищает этот буфер перед передачей его содержимого на командный сервер».

Авторство DarkWatchman пока не установлено, но Prevailion назвал свою команду сильной.

При этом исследователи отметили исключительную нацеленность троянца на российские компании, а также орфографические ошибки, обнаруженные в образцах исходного кода, из чего можно сделать вывод, что операторами вряд ли являются носители английского языка.

Перевод новостей Новое бесфайловое вредоносное ПО использует реестр Windows в качестве хранилища, чтобы избежать обнаружения .

Полный отчет Prevailion доступен Здесь .

Теги: #ruvds_news #информационная безопасность #Разработка для Windows #Троян #реестр Windows #вымогательство #шпионаж