Троянец DarkComet возвращается в фальшивых биткоин-кошельках

Аналитики обнаружили образец, распространяемый в виде RAR-архива, который содержит исполняемый файл под названием «94k BTC wallet.exe». Использование архива - стандартный метод обхода систем безопасности, поскольку многие почтовые фильтры и антивирусные решения менее эффективно сканируют сжатые файлы. Кроме того, это повышает доверие жертвы, которая ожидает увидеть внутри архив установочный файл легального программного обеспечения.

Технический анализ показал, что основной исполняемый файл был упакован с помощью UPX (Ultimate Packer for Executables - упаковщик исполняемых файлов), что усложняло его обнаружение и исследование. После распаковки размер файла увеличился с 325 КБ до 742 КБ, что свидетельствует о значительной степени сжатия исходного кода. Инструменты анализа выявили характерные для DarkComet RAT функции, включая перехват клавиатурного ввода, доступ к веб-камере и удаленное управление системой.

Одной из ключевых особенностей данной модификации стал механизм персистентности (устойчивости). Вредоносная программа копирует себя в папку %AppData%\Roaming\MSDCSC\ под именем explorer.exe и создает запись в автозагрузке реестра Windows. В результате троянец активируется при каждой перезагрузке системы, оставаясь незаметным для обычного пользователя.

Конфигурация DarkComet, извлеченная из памяти после распаковки, содержит параметры для подключения к командному серверу kvejo991.ddns.net через порт 1604. Также обнаружен мьютекс DC_MUTEX-ARULYYD, который предотвращает одновременный запуск нескольких копий программы. Анализ сетевой активности показал, что троянец пытается установить соединение с управляющим сервером, хотя в момент исследования он был недоступен.

В процессе выполнения вредоносная программа создает несколько процессов, включая cmd.exe и notepad.exe, что является стандартной тактикой для маскировки активности. Инжекция кода в легитимные процессы позволяет скрыть следы присутствия в системе. Одновременно DarkComet начинает записывать все нажатия клавиш в папку dclogs, где сохраняются логи для последующей передачи злоумышленнику.

Хотя DarkComet RAT официально не поддерживается автором с 2012 года, его исходный код многократно использовался в новых атаках. Текущий случай подтверждает, что даже устаревшие образцы malware (вредоносного программного обеспечения) представляют серьезную угрозу, особенно в сочетании с социальной инженерией. Криптовалютные энтузиасты должны проявлять особую осторожность при загрузке ПО из непроверенных источников, поскольку мошенники активно эксплуатируют тему Bitcoin для распространения троянов.

Эксперты по кибербезопасности рекомендуют использовать только официальные кошельки и торговые платформы, проверять цифровые подписи файлов и обновлять антивирусное ПО. Кроме того, важно обучать пользователей основам цифровой гигиены, поскольку технические средства защиты не всегда способны блокировать социальную инженерию. Регулярное резервное копирование данных и использование многофакторной аутентификации также снижают риски при работе с криптовалютами.

Таким образом, инцидент с DarkComet RAT напоминает о необходимости комплексного подхода к безопасности, сочетающего технологические решения и осведомленность пользователей. Киберпреступники постоянно адаптируют свои методы, поэтому защита требует постоянного внимания как со стороны организаций, так и индивидуальных пользователей.

Domains

• kvejo991.ddns.net

MD5

• d74ca6016bdde3df525d7c7651747336

SHA1

• dc56a542e3db56f1c7132d3e99c960c09396cde3

SHA256

• 11bf1088d66bc3a63d16cc9334a05f214a25a47f39713400279e0823c97eb377
• 58c284e7bbeacb5e1f91596660d33d0407d138ae0be545f59027f8787da75eda
• 5b5c276ea74e1086e4835221da50865f872fe20cfc5ea9aa6a909a0b0b9a0554