DarkComet RAT

DarkComet RAT - это вредоносная программа, предназначенная для удаленного контроля или администрирования компьютера жертвы, кражи частных данных и шпионажа за жертвой.

Также известен как

  • Breut
  • Fynloski
  • klovbot

Что такое DarkComet RAT?

DarkComet - это троян для удаленного доступа, разработанный Жан-Пьером Лесюэром в 2008 году. По его словам, программа никогда не предназначалась для незаконного использования. Но она стала вирусной в 2012 году после сирийского инцидента: правительство использовало RAT для шпионажа и уничтожения сети протестующих.

Это стандартная вредоносная программа дистанционного управления - хакер управляет зараженным компьютером и получает доступ к камере и микрофону. Поэтому DarkComet служит инструментом для наблюдения за действиями жертвы, снятия скриншотов, перехвата ключей или кражи учетных данных.

У вредоносной программы было несколько версий, и DarkComet 5.3.1 все еще доступен в 2022 году.

Мошенники пытаются заставить жертв загрузить и запустить RAT, используя различные методы социальной инженерии. А в некоторых случаях злоумышленники используют DarkComet для доставки на зараженный компьютер других вредоносных программ. Хакеры могут вовлечь машину жертвы в схему ботнета, например, для рассылки спама.

Процесс выполнения DarkComet

DarkComet имеет типичное исполнение RAT.

Зараженная система подключается к компьютеру хакера и предоставляет атакующему полный доступ. Мошенники могут использовать все возможности системы: зараженная машина готова получать пакеты и выполнять команды.

Системы обмениваются данными по TCP с выбранным портом вредоносной программы DarkComet на выбранном IP/домене. Затем начинается C&C-трафик с шифрованием RC4-256.

Процесс выполнения DarkComet варьируется в зависимости от образца и версии. Наиболее простое исполнение представляет собой всего один процесс, который совершает все действия в зараженной системе.

В некоторых случаях вредоносное ПО может использовать системные утилиты для защиты от уклонения или персистенции. Например, в данной задаче используется техника T1564.001: вредоносное ПО запускает attrib.exe через cmd.exe, чтобы скрыть основной исполняемый файл. В системный процесс iexplorer был внедрен вредоносный код, который впоследствии и обеспечил основную вредоносную активность.

Распространение вредоносной программы DarkComet

Чтобы обманом заставить людей загрузить и установить такие программы, как Quasar RAT, njRAT и DarkComet, киберпреступники используют:

  • другие трояны
  • подозрительные каналы загрузки файлов или программного обеспечения
  • поддельные обновления программного обеспечения и/или неофициальные инструменты активации
  • фишинг .

Письма могут содержать вредоносный контент в различных форматах, таких как документы Microsoft Office, PDF-документы, файлы .exe, архивы ZIP и RAR, файлы JavaScript и т.д.

После того как пользователь обманом загружает и затем открывает файл, он устанавливает другие вредоносные программы.

Заключение

Наличие загруженного DarkComet на вашей рабочей станции может привести к серьезным проблемам. И лучше немедленно избавиться от него.

Поделиться с друзьями
SEC-1275-1