حملات اسپمی و انتقال تروجان DarkComet

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

حملات اسپمی و انتقال تروجان DarkComet

حملات اسپمی جدیدی شناسایی شده که از اسنادی استفاده می‌کنند که حاوی تروجان با دسترسی از راه دور DarkComet است. در ایمیل‌های اسپم، پیوست‌هایی وجود دارند که در قالب اسناد مربوط حمل و نقل دریایی نمایش داده می‌شوند. پس از نصب DarkComet، بدافزار می‌تواند کلیدهای فشرده شده و میزان استفاده از برنامه‌های مختلف را ثبت کند و همچنین از صفحه نمایش اسکرین‌شات تهیه کند.
نمونه‌ای از ایمیل‌های اسپم که با عنوان Shippingdocs#۳۳۰ ارسال می‌شوند، در تصویر زیر قابل مشاهده است:

q861

در ایمیل‌ها پیوستی با پسوند z. و نام DOC۰۰۰YUT۶۰۰.pdf.z وجود دارد. درون این پیوست فایلی با نام DOC۰۰۰YUT۶۰۰.scr موجود است که پس از اجرا، تروجان DarkComet را روی سیستم قربانی نصب می‌کند.
تروجان به عنوان UserProfile%\Music\regdrv.exe% و UserProfile%\Videos\Regdriver.exe% نصب می‌شود. یک Autorun نیز با نام Registry Driver نصب می‌شود که فایل Regdriver.exe را هنگام ورود کاربر به ویندوز اجرا کند.
گزارش‌های ثبت شده توسط تروجان در UserProfile%\AppData\Roaming\dclogs%\ ذخیره می‌شوند و در بازه‌های مختلف برای مهاجم ارسال می‌شوند.
نمونه‌ای از فایل گزارش‌ها:

q862

همچنین، هنگام اجرای تروجان، مهاجم می‌تواند به رایانه قربانی متصل شود و در آن دستور اجرا کند، با قربانی گفتگو کند، از صفحات باز اسکرین‌شات بگیرد و فعالیت‌های دیگری را انجام دهد.
برای مقابله با نفوذ این تروجان، توصیه می‌شود از آنتی‌ویروس معتبر استفاده و از باز کردن ایمیل‌های مشکوک پرهیز شود.

منبع:
/https://www.bleepingcomputer.com/news/security/beware-of-fake-shipping-docs-malspam-pushing-the-darkcomet-rat

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری