DarkWatchman 恶意软件

DarkWatchman 恶意软件说明

DarkWatchman 是一种基于 JavaScript 的新型远程访问木马 (RAT),并通过积极的社会工程活动进行传播。该恶意软件采用特定的“无文件”技术来逃避检测和分析。此外,它使用弹性域生成算法 (DGA) 来识别其命令和控制基础架构,同时通过使用 Windows 注册表来为其威胁操作的几乎所有临时和永久存储绕过大多数反恶意软件解决方案。 DarkWatchman 不会在受感染计算机的磁盘上写入任何内容,因此对于许多安全扫描程序来说仍然无法发现。

除了 JavaScript RAT 组件外,新恶意软件还有一个基于 C# 的键盘记录器。恶意软件的键盘记录器组件存储在注册表中以避免检测,因此这两个组件都非常轻量级。安装后,DarkWatchman 可以执行多种操作,例如运行任意二进制文件、加载 DLL 文件、运行 JavaScript 代码和 PowerShell 命令。它甚至可以在必要时从受感染的机器上卸载 RAT 和键盘记录器。

DarkWatchman 是通过伪装成俄罗斯货运公司“免费存储到期通知”的垃圾邮件分发的。电子邮件中附有 ZIP 存档形式的发票,该附件包含感染系统的有害负载随后。安装后,RAT 为其他感染提供了一个网关,它甚至可以用作勒索软件部署的前奏。

到目前为止,DarkWatchman 的创造者仍然未知。然而,有迹象表明,对其出现负责的威胁行为者不是以英语为母语的人(印刷错误、受害者位于俄罗斯等)。已知的受害者之一是位于俄罗斯的一个大型组织。