Darkcomet木马变身“抓鸡狂魔” 腾讯电脑管家精准查杀
窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动,形形色色的钓鱼邮件让人防不胜防,也令人深恶痛绝。近日,腾讯智慧安全御见威胁情报中心监测发现,一利用僵尸网络进行违法活动的“抓鸡狂魔”团伙活动热度呈上升趋势,该团伙通过鱼叉邮件、下载站传播远程控制木马,在全球范围内批量抓“肉鸡”以收集用户隐私信息、机密文件,乃至发起DDoS攻击,给用户造成巨大的网络安全威胁。
据了解,“抓鸡狂魔”团伙擅长利用Darkcomet远程控制木马发起网络攻击活动。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新,但是目前仍有大量攻击者使用该工具进行网络攻击。
(图:“抓鸡狂魔”病毒团伙的部分关联信息展示)
据腾讯安全技术安全专家介绍,“抓鸡狂魔”团伙近两年攻击事件频发。其中从2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件发起攻击。同时,该团伙擅长利用Darkcomet、Njrat、Netwire等工具发起网络攻击,通过常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率。
作为一款古老的远程控制木马,Darkcomet常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。区别于其他远程控制木马,Darkcomet木马已形成一套独立的传输协议,数据收发时都会进行加解密,确保顺利通信。
经溯源追踪,目前该木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,评估认为该团伙位于欧美地区的可能性较大。根据腾讯智慧安全御见情报中心分析,Darkcomet远程控制木马(“暗黑彗星”木马)国内感染率最高的为广东、浙江和河南,分别为21.8%,13.85%和8.55%。
(图:“抓鸡狂魔”地域分布)
由于该木马目标锁定企业及个人用户,波及范围较为广泛,影响极为恶劣。为此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,务必养成良好的上网习惯,保持腾讯电脑管家等主流杀毒软件开启并运行状态,勿轻信网站提示关闭或退出杀毒软件,及时更新系统补丁,并实时拦截该类病毒风险;同时建议用户通过正规渠道下载软件,不要随意点开来历不明的邮件附件,可有效降低该类木马攻击的风险。
(图:企业级安全防御产品腾讯御点)
针对企业用户,马劲松提醒企业网络管理员,建议全网安装终端安全管理系统,推荐使用腾讯智慧安全御点终端安全管理系统统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业网络管理者全面了解、管理企业内网安全状况、保护企业网络信息安全。