来自 Pavilion 的网络安全研究人员最近发现了一项新的恶意软件活动，据称俄罗斯恶意行为者针对其他俄罗斯人。

正如研究人员 Matt Stafford 和 Sherman Smith 报道的那样，11 月初，该公司发现了一个轻量级但功能强大的 JavaScript 远程访问木马 ，它与 C# 键盘记录器一起部署，它被称为DarkWatchman。像我们常说的电脑病毒，其实只是广大恶意软件中的一类。

它以与当今大多数恶意软件类似的方式传播— 通过网络钓鱼电子邮件将发送带有 ZIP 附件的电子邮件，其中包含似乎是文本文档的内容可是，实际上，该文件是一个自安装的 WinRAR 存档，它部署了 RAT 和键盘记录器

研究人员进一步解释说，DarkWatchman 非常厚脸皮，因为它不会将记录的密钥存储在磁盘上，而是使用Windows注册表无文件存储木马设置了一个计划任务，在受害者每次登录 Windows 时自行运行

启用勒索软件攻击

登录后，它将执行 PowerShell 脚本来编译键盘记录器并将其启动到内存中。一方面，首先得让它认识够多的“疾病”，也就是恶意软件出现时的电磁波信号。。

键盘记录器作为混淆的 C# 源代码分发，作为 Base64 编码的 PowerShell 命令处理并存储在注册表中当 RAT 启动时，它执行这个 PowerShell 脚本，然后编译键盘记录器和执行它，两位研究人员解释说

键盘记录器本身不与 C2 通信或写入磁盘相反，它将其键盘日志写入用作缓冲区的注册表项在其操作期间，RAT 在将记录的击键传输到C2 服务器

说到 C2 服务器，DarkWatchman 使用域生成算法，每天生成多达 500 个域研究人员解释说，这使它们对域占用具有很强的弹性，并且对通信监控具有抵抗力

Prevailion 研究人员认为，DarkWatchman 有一个非常具体的用例据他们介绍，RAT 是由勒索软件运营商设计的，并分发给第三方，然后第三方的任务是破坏目标网络一旦部署了 RAT，安装实际的恶意软件就会变得容易得多

。