El nuevo malware sin archivos utiliza el registro de Windows como repositorio para evitar ser detectado

Malware sin archivos de Windows

Se ha observado un nuevo troyano de acceso remoto basado en JavaScript (RAT) promovido a través de una campaña de ingeniería social que utiliza técnicas insidiosas «sin archivos» como parte de los métodos de detección de fugas para evitar el descubrimiento y el análisis.

Apodado DarkWatchman Según los investigadores del Equipo de Contrainteligencia Adversario (PACT) de Prevailion, el malware usa un algoritmo de generación de dominio (DGA) para identificar su infraestructura de comando y control (C2) y usa el registro de Windows para todas las operaciones del repositorio, lo que le permite eludir los motores anti-malware.

RAT «utiliza nuevos métodos para la persistencia sin archivos, la actividad del sistema y las capacidades dinámicas de tiempo de ejecución, como la actualización automática y la recompilación», dijeron los investigadores Matt Stafford y Sherman Smith, y agregaron que es un almacenamiento temporal y permanente, por lo que nunca escribe nada en el disco. , lo que le permite trabajar por debajo o alrededor del umbral de detección de la mayoría de las herramientas de seguridad «.

Prevailion dijo que una de las víctimas objetivo era una organización del tamaño de una empresa sin nombre en Rusia, con una serie de artefactos de malware identificados al 12 de noviembre de 2021. Dadas las características de la puerta trasera y la persistencia, el equipo de PACT evaluó que DarkWatchman podría ser el primer enfoque y herramienta exploratoria para su uso por grupos de ransomware.

Una consecuencia interesante de este nuevo desarrollo es que elimina por completo la necesidad de que los operadores de ransomware contraten afiliados, que generalmente se encargan de eliminar el malware para bloquear archivos y manejar el filtrado de archivos. El uso de DarkWatchman como preludio de las implementaciones de ransomware también proporcionará a los principales desarrolladores de ransomware una mejor supervisión de las operaciones que la negociación del rescate.

DarkWatchman, distribuido a través de correos electrónicos de spear-phishing disfrazados de «Alertas de caducidad de almacenamiento gratuito» para un envío entregado por la compañía naviera rusa Pony Express, DarkWatchman proporciona una puerta de enlace secreta para más actividades insidiosas. Los correos electrónicos van acompañados de una supuesta factura en forma de archivo ZIP, que a su vez contiene la carga útil necesaria para infectar Windows.

El nuevo RAT es un RAT de JavaScript sin archivos y un registrador de teclas basado en C #, el último de los cuales se almacena en el registro para evitar la detección. Ambos componentes también son extremadamente ligeros. El código JavaScript malicioso ocupa solo unos 32 kb, mientras que el keylogger apenas registra 8.5 kb.

«Almacenar código binario en el registro como texto codificado significa que DarkWatchman es permanente, pero su archivo ejecutable nunca se escribe (permanentemente) en el disco; también significa que los operadores de DarkWatchman pueden actualizar (o reemplazar) el malware cada vez que se ejecuta». dijeron los investigadores.

Una vez instalado, DarkWatchman puede ejecutar binarios arbitrarios, cargar archivos DLL, ejecutar comandos de JavaScript y PowerShell, cargar archivos a un servidor remoto, actualizar e incluso desinstalar RAT y keylogger de una computadora infectada. La rutina de JavaScript también es responsable de garantizar la coherencia mediante la creación de una tarea programada que ejecuta malware cada vez que un usuario inicia sesión.

«El registrador de teclas en sí no se comunica con C2 ni escribe en el disco», dijeron los investigadores. «En su lugar, escribe su registro de teclas en una clave de registro que utiliza como búfer. Durante su funcionamiento, el RAT raspa y borra ese búfer antes de transferir las pulsaciones de teclado grabadas al servidor C2».

DarkWatchman aún no se ha atribuido al grupo de piratas informáticos, pero Prevailion caracterizó al equipo como un «actor potencial en riesgo», junto con una referencia al objetivo exclusivo del malware de las víctimas en Rusia y los errores tipográficos y errores tipográficos identificados en las muestras de código fuente. , lo que aumenta la posibilidad de que los operadores no sean hablantes nativos de inglés.

«Los autores de DarkWatchman parecen haber identificado y utilizado la complejidad y opacidad del registro de Windows para trabajar por debajo o alrededor del umbral de detección tanto de las herramientas de seguridad como de los analistas», concluyeron los investigadores. «Los cambios en el registro son comunes y puede ser difícil determinar qué cambios son inusuales o están fuera del alcance del sistema operativo normal y las características del software».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática