19.12.2021

**В реестре Windows обнаружен бесфайловый троян** DarkWatchman способен обходить привычные механизмы обнаружения

В реестре <i>Windows </i>обнаружен бесфайловый троян

Текст Александр Пономарёв

Специалисты по кибербезопасности компании Prevailion Adversarial Counterintelligence Team сообщили о трояне, который скрывается в реестре Windows и выполняет через него все операции

Троян использует новейшие методы так называемого бесфайлового присутствия и внутрисистемной активности, а также динамические возможности среды выполнения — самообновление и рекомпиляцию. Эксперты отмечают, что он демонстрирует очередной шаг в развитии бесфайловых технологий, поскольку все операции временного и постоянного хранения троян реализует через реестр системы, не прибегая к записи на диск, что позволяет избегать его обнаружения большинством средств защиты.

Изменения в реестре — вполне типичное для операционной системы явление и бывает весьма трудно определить, какие из них выходят за рамки обычного поведения системы или программного обеспечения. Среди жертв нового трояна оказалась одна из российских корпораций, название которой не раскрывается. Троян используется злоумышленниками в качестве инструмента проникновения в систему и шпионажа.

Распространяется он посредством фишинговых писем, маскируемых под уведомление о завершении срока бесплатного хранения посылки логистической компании Pony Express. DarkWatchman является двухкомпонентным — он состоит из JS-трояна и C#-кейлоггера. JS-код при этом весит всего 32 килобайта, а кейлоггер — чуть больше восьми килобайт. После установки DarkWatchman может запускать произвольные исполняемые файлы, загружать DLL, выполнять JS-код и даже самоликвидироваться.

Программа для генерации поддельного QR-кода о вакцинации против коронавируса тоже оказалась набором троянов: