Darkcomet木馬變身“抓雞狂魔” 騰訊電腦管家精準查殺

竊取用戶敏感數(shù)據(jù)、個人銀行賬戶和密碼等信息，或者在設(shè)備上執(zhí)行惡意代碼實施進一步的網(wǎng)絡(luò)攻擊活動，形形色色的釣魚郵件讓人防不勝防，也令人深惡痛絕。近日，騰訊智慧安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，一利用僵尸網(wǎng)絡(luò)進行違法活動的“抓雞狂魔”團伙活動熱度呈上升趨勢，該團伙通過魚叉郵件、下載站傳播遠程控制木馬，在全球范圍內(nèi)批量抓“肉雞”以收集用戶隱私信息、機密文件，乃至發(fā)起DDoS攻擊，給用戶造成巨大的網(wǎng)絡(luò)安全威脅。

據(jù)了解，“抓雞狂魔”團伙擅長利用Darkcomet遠程控制木馬發(fā)起網(wǎng)絡(luò)攻擊活動。Darkcomet木馬誕生于2008年，又稱“暗黑彗星”木馬，是國外有名的后門類木馬。該木馬運行后不僅記錄并上傳受害者輸入的密碼、攝像頭信息等隱私內(nèi)容，還可根據(jù)服務(wù)端指令執(zhí)行下載文件、啟動程序、運行腳本等控制操作。同時，攻擊者還可用被控制的電腦作跳板，對其它目標發(fā)起DDoS攻擊。盡管木馬作者于2012年已停止了對“暗黑彗星”木馬的更新，但是目前仍有大量攻擊者使用該工具進行網(wǎng)絡(luò)攻擊。

(圖：“抓雞狂魔”病毒團伙的部分關(guān)聯(lián)信息展示)

據(jù)騰訊安全技術(shù)安全專家介紹，“抓雞狂魔”團伙近兩年攻擊事件頻發(fā)。其中從2018年4月份開始，通過投遞帶有CVE-2017-11882等漏洞文檔的魚叉郵件發(fā)起攻擊。同時，該團伙擅長利用Darkcomet、Njrat、Netwire等工具發(fā)起網(wǎng)絡(luò)攻擊，通過常用釣魚手法，比如魚叉郵件、偽裝正常程序以假亂真、美女圖標程序等，而且利用已公開的漏洞來提高攻擊成功率。

作為一款古老的遠程控制木馬，Darkcomet常見通過魚叉郵件傳播，作為攻擊RAT(遠程控制管理的簡稱)，功能十分強大。區(qū)別于其他遠程控制木馬，Darkcomet木馬已形成一套獨立的傳輸協(xié)議，數(shù)據(jù)收發(fā)時都會進行加解密，確保順利通信。

經(jīng)溯源追蹤，目前該木馬控制服務(wù)器大多位于美國、法國，通過攻擊使用話術(shù)和樣本資源信息分析，評估認為該團伙位于歐美地區(qū)的可能性較大。根據(jù)騰訊智慧安全御見情報中心分析，Darkcomet遠程控制木馬(“暗黑彗星”木馬)國內(nèi)感染率最高的為廣東、浙江和河南，分別為21.8%，13.85%和8.55%。

(圖：“抓雞狂魔”地域分布)

由于該木馬目標鎖定企業(yè)及個人用戶，波及范圍較為廣泛，影響極為惡劣。為此，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶，務(wù)必養(yǎng)成良好的上網(wǎng)習慣，保持騰訊電腦管家等主流殺毒軟件開啟并運行狀態(tài)，勿輕信網(wǎng)站提示關(guān)閉或退出殺毒軟件，及時更新系統(tǒng)補丁，并實時攔截該類病毒風險;同時建議用戶通過正規(guī)渠道下載軟件，不要隨意點開來歷不明的郵件附件，可有效降低該類木馬攻擊的風險。

(圖：企業(yè)級安全防御產(chǎn)品騰訊御點)

針對企業(yè)用戶，馬勁松提醒企業(yè)網(wǎng)絡(luò)管理員，建議全網(wǎng)安裝終端安全管理系統(tǒng)，推薦使用騰訊智慧安全御點終端安全管理系統(tǒng)統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)網(wǎng)絡(luò)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)網(wǎng)絡(luò)信息安全。