DarkWatchman

¿Qué es?

DarkWatchman es un malware de tipo troyano de acceso remoto (RAT) sin ficheros (fileless) que se enfoca en infectar dispositivos Windows para controlarlos remotamente y realizar actividades maliciosas. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

Almacena su código y datos en el Registro de Windows en lugar de en el sistema de archivos, lo que le permite operar de manera furtiva y dificultar su detección por soluciones de seguridad tradicionales.
Utiliza protocolos web, como HTTPS, para comunicarse con su servidor de mando y control (C2) y permitir a los atacantes enviar comandos y recibir datos robados de manera encubierta.
Otorga el control remoto completo a los atacantes en los sistemas infectados como si estuvieran físicamente presentes.
Carga librerías y ejecuta archivos y comandos a través de la línea de comandos, de Windows Script Host (WSH) y de PowerShell.
Captura pulsaciones de teclas mediante un módulo keylogger y monitorea el portapapeles del sistema.
Recopila información del sistema y del navegador, donde se incluye el historial de navegación.
Establece persistencia mediante la creación de tareas programadas y el almacén de su configuración en el Registro de Windows.
Elimina rastros de su existencia en el sistema comprometido a través del borrado de archivos y del historial de los navegadores.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos y a través de enlaces a sitios web comprometidos, entre otros.