Российские компании атакует новый троянский вирус DarkWatchman

Хитрое шпионское ПО, спрятанное в системном реестре Windows, атакует сайты российских компаний, 24 декабря сообщили CNews.ru.

Троянский вирус DarkWatchman атакует сайты российских организаций. Эксперты компании Prevailion указывают, что разработчики вируса разговаривают на русском языке.

Впервые новый вирус проявил себя в ноябре 2021 года, он рассылался в фишинговых письмах внутри приложенного ZIP-архива. В архиве находится файл, мимикрирующий под текстовый документ, открыв который, пользователь устанавливал троянский вирус на свой компьютер.

Вирус использует легитимные программы, скрипты и библиотеки для скрытой передачи данных между отдельными модулями. Особенностью троянца является использование системного реестра Windows для хранения кейлоггера, что позволяет включать вирус при каждом запуске операционной системы.

«Сам по себе кейлоггер не устанавливает связь с контрольным сервером и не записывает данные на диск. Вместо этого перехваченные данные сохраняются в ключе системного реестра, используемого в качестве буфера. Во время работы RAT извлекает данные и очищает буфер, прежде чем переслать информацию о перехваченных нажатиях клавиш на контрольный сервер», — сообщили эксперты.