نصب ابزار مدیریت از راه دور DarkComet، در جریان کارزاری هرزنامهای
مهاجمان در کارزاری هرزنامهای و با بهرهگیری از تکنیکهای مهندسی اجتماعی در حال نصب ابزار مدیریت از راه دور DarkComet بر روی دستگاه کاربران هستند. نصب این ابزار، مهاجمان را قادر به جاسوسی و سرقت اطلاعات از روی دستگاه قربانی میکند.
عنوان هرزنامههای ارسالی توسط این کارزار، Shipping docs#330 گزارش شده است. در این هرزنامهها این طور القا میشود که ایمیل حاوی مستنداتی مربوط به حمل مرسولهای است که بهمنظور تکمیل فرآیند ارسال آن، لازم است که کاربر فایل پیوست را باز نموده و این مستندات را به تایید برساند.
به گزارش شرکت مهندسی شبکه گستر، پیوست این هرزنامهها، فایلی با نام و پسوند DOC000YUT600.pdf.z است. مهاجمان تلاش کردهاند تا با بکارگیری روش موسوم به دو پسوندی (Double Extension) ماهیت اصلی فایل را – در اینجا z. که فایلی غیرمتداول محسوب میشود – از دید کابر مخفی کنند. بهخصوص آن که در سیستم عامل Windows بهصورت پیشفرض پسوند فایلهای شناخته شده به کاربر نمایش داده نمیشود. بنابراین در بسیاری مواقع آن چه که کاربر با آن روبرو میشود نه DOC000YUT600.pdf.z که DOC000YUT600.pdf است.
فایل z خود حاوی فایل دیگری با پسوند .scr است که در صورت اجرای آن، ابزار DarkComet بر روی دستگاه نصب میشود.
در جریان نصب این ابزار فایلهای زیر بر روی دستگاه قربانی ایجاد میشوند:
- %UserProfile%\Music\regdrv.exe
- %UserProfile%\Videos\Regdriver.exe
بهمحض نصب شدن، DarkComet اقدام به رصد برنامههای اجرا شده و ضبط کلیدهای فشرده شده توسط کاربر میکند. اطلاعات جمعآوری شده نیز در فایلهای موسوم به Log در مسیر زیر ضبط و ذخیره میشوند:
- %UserProfile%\AppData\Roaming\dclogs\
فایلهای Log در بازههای زمانی مشخص به سرور تحت کنترل مهاجمان ارسال میشوند.
همچنین مهاجمان با استفاده از این ابزار قادرند تا از راه دور به دستگاه متصل شده و انواع فعالیتهای مخرب از جمله سرقت فایلهای با اطلاعات حساس را به اجرا در آورند.
بکارگیری ضدویروس قدرتمند و بهروز، نصب کامل و بموقع اصلاحیههای امنیتی، استفاده از محصولات دیواره آتش و نفوذیاب، بهرهگیری از نرمافزارها و تجهیزات ضدهرزنامه و مهمتر از همه آموزش کاربران در پرهیز از باز کردن پیوست ایمیلهای مشکوک و کلیک بر روی لینکهای ناآشنا همگی در کنار یکدیگر میتوانند احتمال آلوده شدن دستگاه به این نوع بدافزارهای مخرب را به حداقل برسانند.
توضیح اینکه نمونه اشاره شده در این خبر با نامهای زیر شناسایی میشود:
Bitdefender:
– Trojan.GenericKD.40417053
McAfee:
– Artemis!CD1974C09F71
Sophos:
– Mal/Generic-S