Dopo una serie di minacce diffuse tramite applicazioni per smartphone, l’ultima delle quali con protagonista il virus Joker, è di nuovo tempo di un’emergenza in tema di sicurezza digitale, anche se con un diverso canale di propagazione, quello della posta elettronica.
I ricercatori dell’azienda texana di cyber intelligence Prevailion hanno scovato, tramite un campione di file dannoso sottoposto a VirusTotal, il propagarsi di una campagna di phishing, già iniziata a Novembre, che mira a diffondere il malware “DarkWatchman”, un trojan ad accesso remoto, o RAT, attraverso mail di phishing.
Queste ultime, spedite ai malcapitati, conterrebbero un allegato ZIP al cui interno vi sarebbe un documento di testo, aprendo il quale si darebbe il là all’esecuzione del codice malevolo per lo sbarco in locale, quali payload dannosi, dopo la comparsa di un pop-up di avviso relativo a un “formato sconosciuto“, di DarkWatchman, realizzato in Javascript con un peso di appena 32 kb, e di un suo keylogger, ideato in linguaggio C#, pronto a captare tutto quello che l’utente tenderebbe a scrivere.
L’analisi più approfondita sul virus ha permesso di notare come lo stesso si avvalga di meccanismi stealth, cioè di offuscamento molto evoluti. In primis, DarkWatchman utilizzerebbe un sistema di archiviazione fileless, senza cioè scrivere nulla in locale, depositando l’eseguibile del suo keylogger nel registro di sistema di Windows, in modo da non destare sospetti, visto che “le modifiche al registro sono comuni e può essere difficile identificare quali modifiche sono anormali“. Sempre nel registro di sistema di Windows verrebbero memorizzati temporaneamente i dati carpiti dal keylogger, poi inviati a un server remoto di comando e controllo, con un’attività di monitoraggio delle comunicazioni resa difficile dal fatto che verrebbe usato un algoritmo (DGA) di generazione dei domini che, sulla base di 10 elementi, genera quotidianamente 500 domini.
Inoltre, se ancora non bastasse, il DarkWatchman, a quanto pare messo a disposizione da gruppi di criminali a membri meno capaci per consentire loro di prendere di mira qualcuno ed estrarre informazioni importanti, è anche capace di smettere di agire, di cancellare i log delle sue attività (prima di trasmettere al server remoto le sequenze di tasti captate) e di rimuoversi disinstallandosi dal device infettato (es. qualora rilevi in tentativo di rintracciarlo).