Trojan akses jarak jauh (RAT) baru yang didistribusikan melalui kampanye spear-phishing berbahasa Rusia menggunakan manipulasi unik Windows Registry untuk menghindari sebagian besar deteksi keamanan, menunjukkan evolusi signifikan dalam teknik fileless malware.
Dijuluki DarkWatchman, RAT – ditemukan oleh para peneliti di Prevailion’s Adversarial Counterintelligence Team (PACT) – menggunakan registri pada sistem Windows untuk hampir semua penyimpanan sementara pada mesin dan dengan demikian tidak pernah menulis apa pun ke disk. Ini memungkinkannya “beroperasi di bawah atau di sekitar ambang deteksi sebagian besar alat keamanan,” tulis peneliti PACT Matt Stafford dan Sherman Smith dalam sebuah laporan yang diterbitkan Selasa malam.
Karena aspek-aspek tertentu dari fungsinya, para peneliti percaya bahwa DarkWatchman sedang digunakan oleh pelaku ransomware dan afiliasinya “sebagai muatan awal tahap pertama untuk penyebaran ransomware,” tulis mereka.
Aspek-aspek ini termasuk upayanya untuk menghapus shadow copy pada instalasi, pencariannya untuk target perusahaan – misalnya, smart-card readers – dan kemampuannya untuk memuat muatan tambahan dari jarak jauh, jelas mereka.
Secara keseluruhan, jelas bahwa rangkaian fitur DarkWatchman menunjukkan pekerjaan aktor ancaman yang canggih dan merupakan langkah maju yang penting dalam bagaimana penyerang dapat memperoleh entri awal dan kemudian mencapai persistant dan stealthy pada sistem Windows untuk mengekstrak data dan melakukan aktivitas jahat lainnya, tulis para peneliti.
Selengkapnya: Threat Post
