正在进行一项新的malspam活动,该活动假装运送文件并包含安装DarkComet远程访问特洛伊木马的附件。安装DarkComet后,恶意软件可以记录您的击键,应用程序使用情况,截取屏幕截图等。
由于此远程访问特洛伊木马或RAT可以从受感染的计算机中窃取大量信息,因此了解此类威胁非常重要,这样您就不会被错误地感染。
BleepingComputer首先被安全研究员Vishal Thakur警告此活动, 他发现了该电子邮件并分析了恶意软件。这些电子邮件的主题类似于“装运文档#330”,并假装要发送等待收件人批准的文档。
您可以在下面看到malspam的示例。
电子邮件中包含名称为DOC000YUT600.pdf.z的.z附件。在这个附件里面是一个名为DOC000YUT600.scr的文件,它在执行时会将DarkComet RAT安装到计算机上。
安装后,RAT将安装为 %UserProfile%\ Music \ regdrv.exe和%UserProfile%\ Videos \ Regdriver.exe。还将创建一个名为“注册表驱动程序”的自动运行,当用户登录Windows时,它将启动Regdriver.exe可执行文件。
运行后,DarkComet将开始记录应用程序使用情况和键盘活动,并将其保存到位于%UserProfile%\ AppData \ Roaming \ dclogs \文件夹中的日志文件中。这些文件将以不同的间隔上传到攻击者。
您可以在下面看到DarkComet日志文件的示例。
在运行时,攻击者还可以连接到您的计算机以执行命令,与您聊天,截取活动窗口的屏幕截图以及执行其他活动。然后,这可以让他们看到敏感的图像或文档,然后可以用来对付你。
与往常一样,为了保护自己免受DarkComet等威胁,请始终确保您的计算机上安装了更新的安全软件,以提供实时保护。此外,除非您知道发件人并确认他们实际上已向您发送了电子邮件,否则请勿打开附件。
即便如此,我强烈建议您使用VirusTotal扫描所有附件,以确保您没有打开恶意文档或文件。
领取专属 10元无门槛券
私享最新 技术干货