Hackernews 编译，转载请注明出处：

一种名为“DarkWatchman”的新恶意软件出现在地下 *** 犯罪组织中，它是一种轻量级、功能强大的 JavaScript RAT（远程访木马），与C#键盘记录器配对。
根据 Prevailion 研究人员的一份技术报告，这种新型 RAT 是由讲俄语的攻击者部署的，他们的目标主要是俄罗斯的组织。
在11月初发现了DarkWatchman的之一次踪迹，当时攻击者开始通过带有恶意ZIP附件的 *** 钓鱼电子邮件传播恶意软件。

这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。此可执行文件是一个自行安装的WinRAR归档文件，可以安装RAT和键盘记录器。

如果打开文件，用户将看到一条陷进弹出消息，内容为“未知格式”，但实际上，有效载荷已安装在后台。
DarkWatchman是一个非常轻量级的恶意软件，JavaScript RAT的大小只有32kb，而编译后的RAT只占用了8.5kb的空间。
它利用了大量的“LotL”二进制文件、脚本和库，并采用了隐蔽的 *** 在模块之间传输数据。
DarkWatchman的过人之处在于它为键盘记录器使用了Windows注册表无文件存储机制。
不再将键盘记录器存储在磁盘上，而是创建一个计划任务，以便在用户每次登录Windows时启动DarkWatchman RAT。

一旦启动，Darkwatchen将执行PowerShell脚本，该脚本使用.NET CSC.exe命令编译键盘记录器，并将其启动到内存中。
“键盘记录器作为模糊化的C#源代码分发，并作为Base64编码的PowerShell命令处理和存储在注册表中。当RAT启动时，它执行这个PowerShell脚本，该脚本反过来编译键盘记录器（使用CSC）并执行它，” Privailion研究人员Matt Stafford和Sherman Smith在他们的研究报告中解释道。
键盘记录器本身不与C2通信或写入磁盘。相反，它将其键盘日志写入一个用作缓冲区的注册表项。在其运行过程中，RAT会在将记录的击键发送到C2服务器之前清除该缓冲区。

因此，注册表不仅用作隐藏编码的可执行代码的地方，而且还用作临时位置来保存窃取的数据，直到它被提取到C2。
在C2通信和基础设施方面，DarkWatchman 的操作者使用DGA（域生成算法）和10项种子列表，每天生成多达500个域。
这给了他们卓越的生存能力，同时也使得通信监控和分析变得更具挑战性。
DarkWatchman的功能如下：

• 执行EXE文件（返回或不返回输出）
• 加载DLL文件
• 在命令行上执行命令
• 执行WSH命令
• 通过WMI执行其他命令
• 执行PowerShell命令
• 评估JavaScript
• 从受害计算机将ILE上载到C2服务器
• 远程停止并卸载RAT和键盘记录器
• 远程更新C2服务器地址或呼叫总部超时
• 远程更新RAT和键盘记录器
• 将autostart JavaScript设置为在RAT启动时运行
• C2弹性域生成算法（DGA）
• 如果用户具有管理员权限，则会使用vssadmin.exe删除影副本

Privailion认为，DarkWatchman可能是由勒索软件集团定制的，或者是为勒索软件集团量身定做，因为它们需要为能力较弱的附属组织提供一种强大而隐蔽的工具。
该恶意软件可以远程加载额外的有效载荷，因此可以作为后续勒索软件部署的感染之一阶段。
由于DarkWatchman可以在初始感染后与攻击者控制的域通信，勒索软件操作者可以接管并部署勒索软件或直接进行文件提取。
这种 *** 将使分支组织的角色降级为 *** 渗透者，同时使RaaS操作更加实用和高效。

消息来源：BleepingComputer，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于 *** ；
转载请注明“转自HackerNews.cc ” 并附上原文链接