DarkWatchman 惡意軟件
DarkWatchman 是一種基於 JavaScript 的新型遠程訪問木馬 (RAT),並通過積極的社會工程活動進行傳播。該惡意軟件採用特定的“無文件”技術來逃避檢測和分析。此外,它使用彈性域生成算法 (DGA) 來識別其命令和控制基礎架構,同時通過使用 Windows 註冊表來為其威脅操作的幾乎所有臨時和永久存儲繞過大多數反惡意軟件解決方案。 DarkWatchman 不會在受感染計算機的磁盤上寫入任何內容,因此對於許多安全掃描程序來說仍然無法發現。
除了 JavaScript RAT 組件外,新惡意軟件還有一個基於 C# 的鍵盤記錄器。惡意軟件的鍵盤記錄器組件存儲在註冊表中以避免檢測,因此這兩個組件都非常輕量級。安裝後,DarkWatchman 可以執行多種操作,例如運行任意二進製文件、加載 DLL 文件、運行 JavaScript 代碼和 PowerShell 命令。它甚至可以在必要時從受感染的機器上卸載 RAT 和鍵盤記錄器。
DarkWatchman 是通過偽裝成俄羅斯貨運公司“免費存儲到期通知”的垃圾郵件分發的。電子郵件中附有 ZIP 存檔形式的發票,該附件包含感染系統的有害負載隨後。安裝後,RAT 為其他感染提供了一個網關,它甚至可以用作勒索軟件部署的前奏。
到目前為止,DarkWatchman 的創造者仍然未知。然而,有跡象表明,對其出現負責的威脅行為者不是以英語為母語的人(印刷錯誤、位於俄羅斯的受害者等)。已知的受害者之一是位於俄羅斯的一個大型組織。
