新的无文件恶意软件潜伏在Windows注册表中

已发现一种新的远程访问木马，它通过网络钓鱼活动进行传播，并使用无文件存在技术躲避检测机制。

Prevailion Adversarial Counterintelligence Team 的研究人员将这种恶意软件昵称为 DarkWatchman该程序使用稳定的域生成算法 确定自己的 Camp，C 基础设施，同时隐藏在注册表中，通过它它也悄悄地执行与存储的所有操作

用 PACT 的研究员 Sherman Smith 的话来说:

木马采用最新的无文件存在和系统内活动，以及动态运行时功能，如自我更新和重新编译它展示了无文件存在技术开发的下一步，因为所有临时和永久存储操作都是通过系统注册表执行的，而无需求助于写入磁盘，从而避免了大多数安全工具的检测注册表更改很常见，很难确定哪些是异常的，并且超出了系统或软件的正常行为

根据 Prevailion 的说法，受害者中有一家俄罗斯公司，从 2021 年 11 月 12 日开始，其中发现了许多恶意工件该组织本身没有命名考虑到系统集成和长期存在的特殊性，PACT 团队得出结论，DarkWatchman 可能被黑客团体用作渗透系统和间谍活动的工具

这一最新发展的一个有趣结果是，它完全消除了运营商聘请附属机构的需要，这些附属机构通常负责提供文件阻止恶意软件，然后检索这些文件使用 DarkWatchman 作为勒索软件部署的第一阶段，可以让开发人员更好地监督整个操作

研究人员从知名恶意软件合集社区Virusign中获取样本，共收集了4790个32位ELFARM恶意软件样本。

郑重声明：此文内容为本网站转载企业宣传资讯，目的在于传播更多信息，与本站立场无关。仅供读者参考，并请自行核实相关内容。