来自 Pavilion 的网络安全研究人员最近发现了一项新的恶意软件活动,据称俄罗斯恶意行为者针对其他俄罗斯人。
正如研究人员 Matt Stafford 和 Sherman Smith 报道的那样,11 月初,该公司发现了一个轻量级但功能强大的 JavaScript 远程访问木马 ,它与 C# 键盘记录器一起部署,它被称为DarkWatchman。要让AI学会“悬丝”诊断,既要让它学会识别疾病,也得避免它发生误诊。所以这里面就需要两类电磁波数据集。。
它以与当今大多数恶意软件类似的方式传播— 通过网络钓鱼电子邮件将发送带有 ZIP 附件的电子邮件,其中包含似乎是文本文档的内容可是,实际上,该文件是一个自安装的 WinRAR 存档,它部署了 RAT 和键盘记录器
研究人员进一步解释说,DarkWatchman 非常厚脸皮,因为它不会将记录的密钥存储在磁盘上,而是使用Windows注册表无文件存储木马设置了一个计划任务,在受害者每次登录 Windows 时自行运行
启用勒索软件攻击
登录后,它将执行 PowerShell 脚本来编译键盘记录器并将其启动到内存中。
键盘记录器作为混淆的 C# 源代码分发,作为 Base64 编码的 PowerShell 命令处理并存储在注册表中当 RAT 启动时,它执行这个 PowerShell 脚本,然后编译键盘记录器和执行它,两位研究人员解释说
键盘记录器本身不与 C2 通信或写入磁盘相反,它将其键盘日志写入用作缓冲区的注册表项在其操作期间,RAT 在将记录的击键传输到C2 服务器
说到 C2 服务器,DarkWatchman 使用域生成算法,每天生成多达 500 个域研究人员解释说,这使它们对域占用具有很强的弹性,并且对通信监控具有抵抗力
Prevailion 研究人员认为,DarkWatchman 有一个非常具体的用例据他们介绍,RAT 是由勒索软件运营商设计的,并分发给第三方,然后第三方的任务是破坏目标网络一旦部署了 RAT,安装实际的恶意软件就会变得容易得多
。郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。