Peneliti keamanan siber dari Pavilion baru-baru ini menemukan kampanye malware baru di mana aktor jahat Rusia diduga menargetkan orang Rusia lainnya.
Seperti yang dilaporkan oleh peneliti Matt Stafford dan Sherman Smith, pada awal November, perusahaan melihat JavaScript Remote Access Trojan (RAT) yang ringan namun sangat kuat, yang digunakan bersama dengan keylogger C# yang disebutnya “DarkWatchman”.
Itu didistribusikan dengan cara yang mirip dengan kebanyakan malware (terbuka di tab baru) hari ini – melalui email phishing. Email dengan lampiran ZIP akan dikirim, berisi apa yang tampak seperti dokumen teks. Namun pada kenyataannya, file tersebut adalah arsip WinRAR yang menginstal sendiri yang menyebarkan RAT dan keylogger.
DarkWatchman cukup nakal, para peneliti lebih lanjut menjelaskan, karena tidak menyimpan kunci yang dicatat pada disk, melainkan menggunakan sistem operasi Windows. (terbuka di tab baru) Penyimpanan tanpa file registri. Trojan menyiapkan tugas terjadwal, untuk menjalankan dirinya sendiri setiap kali korban masuk ke Windows.
Mengaktifkan serangan ransomware
Setelah masuk, itu akan mengeksekusi skrip PowerShell untuk mengkompilasi keylogger dan meluncurkannya ke dalam memori.
“Keylogger didistribusikan sebagai kode sumber C# yang disamarkan yang diproses dan disimpan dalam registri sebagai perintah PowerShell yang disandikan Base64. Ketika RAT diluncurkan, ia mengeksekusi skrip PowerShell ini yang, pada gilirannya, mengkompilasi keylogger (menggunakan CSC) dan mengeksekusinya,” jelas kedua peneliti tersebut.
“Keylogger itu sendiri tidak berkomunikasi dengan C2 atau menulis ke disk. Sebaliknya, ia menulis keylognya ke kunci registri yang digunakannya sebagai buffer. Selama operasinya, RAT mengikis dan membersihkan buffer ini sebelum mengirimkan penekanan tombol yang dicatat ke server C2.”
Berbicara tentang server C2, DarkWatchman menggunakan algoritma pembuatan domain (DGA), menghasilkan hingga 500 domain setiap hari. Itu, para peneliti menjelaskan, membuat mereka sangat tangguh terhadap penyitaan domain, dan tahan terhadap pemantauan komunikasi.
DarkWatchman memiliki kasus penggunaan yang sangat spesifik, menurut peneliti Prevailion. Menurut mereka, RAT dirancang oleh ransomware (terbuka di tab baru) operator dan didistribusikan ke pihak ketiga, yang kemudian bertugas mengkompromikan jaringan target. Setelah RAT diterapkan, penginstalan malware yang sebenarnya menjadi jauh lebih mudah.