DarkComet RAT - это вредоносная программа, предназначенная для удаленного контроля или администрирования компьютера жертвы, кражи частных данных и шпионажа за жертвой.
Также известен как
- Breut
- Fynloski
- klovbot
Что такое DarkComet RAT?
DarkComet - это троян для удаленного доступа, разработанный Жан-Пьером Лесюэром в 2008 году. По его словам, программа никогда не предназначалась для незаконного использования. Но она стала вирусной в 2012 году после сирийского инцидента: правительство использовало RAT для шпионажа и уничтожения сети протестующих.
Это стандартная вредоносная программа дистанционного управления - хакер управляет зараженным компьютером и получает доступ к камере и микрофону. Поэтому DarkComet служит инструментом для наблюдения за действиями жертвы, снятия скриншотов, перехвата ключей или кражи учетных данных.
У вредоносной программы было несколько версий, и DarkComet 5.3.1 все еще доступен в 2022 году.
Мошенники пытаются заставить жертв загрузить и запустить RAT, используя различные методы социальной инженерии. А в некоторых случаях злоумышленники используют DarkComet для доставки на зараженный компьютер других вредоносных программ. Хакеры могут вовлечь машину жертвы в схему ботнета, например, для рассылки спама.
Процесс выполнения DarkComet
DarkComet имеет типичное исполнение RAT.
Зараженная система подключается к компьютеру хакера и предоставляет атакующему полный доступ. Мошенники могут использовать все возможности системы: зараженная машина готова получать пакеты и выполнять команды.
Системы обмениваются данными по TCP с выбранным портом вредоносной программы DarkComet на выбранном IP/домене. Затем начинается C&C-трафик с шифрованием RC4-256.
Процесс выполнения DarkComet варьируется в зависимости от образца и версии. Наиболее простое исполнение представляет собой всего один процесс, который совершает все действия в зараженной системе.
В некоторых случаях вредоносное ПО может использовать системные утилиты для защиты от уклонения или персистенции. Например, в данной задаче используется техника T1564.001: вредоносное ПО запускает attrib.exe через cmd.exe, чтобы скрыть основной исполняемый файл. В системный процесс iexplorer был внедрен вредоносный код, который впоследствии и обеспечил основную вредоносную активность.
Распространение вредоносной программы DarkComet
Чтобы обманом заставить людей загрузить и установить такие программы, как Quasar RAT, njRAT и DarkComet, киберпреступники используют:
- другие трояны
- подозрительные каналы загрузки файлов или программного обеспечения
- поддельные обновления программного обеспечения и/или неофициальные инструменты активации
- фишинг .
Письма могут содержать вредоносный контент в различных форматах, таких как документы Microsoft Office, PDF-документы, файлы .exe, архивы ZIP и RAR, файлы JavaScript и т.д.
После того как пользователь обманом загружает и затем открывает файл, он устанавливает другие вредоносные программы.
Заключение
Наличие загруженного DarkComet на вашей рабочей станции может привести к серьезным проблемам. И лучше немедленно избавиться от него.