Il existe un nouveau logiciel malveillant qui parcourt Internet et qui est capable d’utiliser le registre Windows pour échapper à la détection. D’après ce que nous avons rassemblé jusqu’à présent, ce malware est basé sur JavaScript et c’est également un cheval de Troie d’accès à distance (RAT). Des chercheurs de l’Adversarial Counterintelligence Team (PACT) de Prevailion ont décidé d’appeler ce malware DarkWatchman. Vous voyez, il tire parti de l’algorithme de génération de domaine (DGA) pour identifier son infrastructure de commande et de contrôle et utilise le registre Windows pour stocker ses opérations. Lorsque cela est fait, le malware DarkWatchman est alors capable d’échapper à la plupart des moteurs antimalware.
Le malware DarkWatchman utilise le registre Windows pour échapper à la détection
D’accord, les chercheurs affirment qu’il utilise des méthodes intéressantes pour effectuer une persistance sans fichier sur l’activité du système ainsi que des capacités d’exécution dynamiques.
Les chercheurs Matt Stafford et Sherman Smith affirment que le malware « représente une évolution des techniques de malware sans fichier, car il utilise le registre pour presque tout le stockage temporaire et permanent et n’écrit donc jamais rien sur le disque, ce qui lui permet de fonctionner en dessous ou autour du seuil de détection de la plupart des outils de sécurité.
Qui étaient les victimes ciblées ?
Les gens de Prevailion ont déclaré que le malware DarkWatchman RAT ciblait une grande organisation en Russie. Plusieurs artefacts malveillants ont été identifiés, et tout cela a commencé le 12 novembre 2021. Maintenant, puisqu’il possède des fonctionnalités de persistance et de porte dérobée, l’équipe de PACT a conclu que DarkWatchman pourrait être un outil de reconnaissance conçu et utilisé par des groupes de ransomware cherchant à gagner des millions de dollars.
« Le stockage du binaire dans le registre sous forme de texte codé signifie que DarkWatchman est persistant, mais que son exécutable n’est jamais (permanemment) écrit sur le disque ; cela signifie également que les opérateurs de DarkWatchman peuvent mettre à jour (ou remplacer) le malware à chaque fois qu’il est exécuté », selon les chercheurs.
Pour le moment, ce malware RAT n’a encore été lié à aucun groupe de piratage connu. Cependant, l’équipe de recherche pense que l’équipage derrière elle est un acteur de menace capable.