نصب ابزار مدیریت از راه دور DarkComet، در جریان کارزاری هرزنامه‌ای

مهاجمان در کارزاری هرزنامه‌ای و با بهره‌گیری از تکنیک‌های مهندسی اجتماعی در حال نصب ابزار مدیریت از راه دور DarkComet بر روی دستگاه کاربران هستند. نصب این ابزار، مهاجمان را قادر به جاسوسی و سرقت اطلاعات از روی دستگاه قربانی می‌کند.

عنوان هرزنامه‌های ارسالی توسط این کارزار، Shipping docs#330 گزارش شده است. در این هرزنامه‌ها این طور القا می‌شود که ایمیل حاوی مستنداتی مربوط به حمل مرسوله‌ای است که به‌منظور تکمیل فرآیند ارسال آن، لازم است که کاربر فایل پیوست را باز نموده و این مستندات را به تایید برساند.

به گزارش شرکت مهندسی شبکه گستر، پیوست این هرزنامه‌ها، فایلی با نام و پسوند DOC000YUT600.pdf.z است. مهاجمان تلاش کرده‌اند تا با بکارگیری روش موسوم به دو پسوندی (Double Extension) ماهیت اصلی فایل را – در اینجا z. که فایلی غیرمتداول محسوب می‌شود – از دید کابر مخفی کنند. به‌خصوص آن که در سیستم عامل Windows به‌صورت پیش‌فرض پسوند فایل‌های شناخته شده به کاربر نمایش داده نمی‌شود. بنابراین در بسیاری مواقع آن چه که کاربر با آن روبرو می‌شود نه DOC000YUT600.pdf.z که DOC000YUT600.pdf است.

فایل z خود حاوی فایل دیگری با پسوند .scr است که در صورت اجرای آن، ابزار DarkComet بر روی دستگاه نصب می‌شود.

در جریان نصب این ابزار فایل‌های زیر بر روی دستگاه قربانی ایجاد می‌شوند:

  • %UserProfile%\Music\regdrv.exe
  • %UserProfile%\Videos\Regdriver.exe

به‌محض نصب شدن، DarkComet اقدام به رصد برنامه‌های اجرا شده و ضبط کلیدهای فشرده شده توسط کاربر می‌کند. اطلاعات جمع‌آوری شده نیز در فایل‌های موسوم به Log در مسیر زیر ضبط و ذخیره می‌شوند:

  • %UserProfile%\AppData\Roaming\dclogs\

فایل‌های Log در بازه‌های زمانی مشخص به سرور تحت کنترل مهاجمان ارسال می‌شوند.

همچنین مهاجمان با استفاده از این ابزار قادرند تا از راه دور به دستگاه متصل شده و انواع فعالیت‌های مخرب از جمله سرقت فایل‌های با اطلاعات حساس را به اجرا در آورند.

بکارگیری ضدویروس قدرتمند و به‌روز، نصب کامل و بموقع اصلاحیه‌های امنیتی، استفاده از محصولات دیواره آتش و نفوذیاب، بهره‌گیری از نرم‌افزارها و تجهیزات ضدهرزنامه و مهمتر از همه آموزش کاربران در پرهیز از باز کردن پیوست ایمیل‌های مشکوک و کلیک بر روی لینک‌های ناآشنا همگی در کنار یکدیگر می‌توانند احتمال آلوده شدن دستگاه به این نوع بدافزارهای مخرب را به حداقل برسانند.

توضیح اینکه نمونه اشاره شده در این خبر با نام‌های زیر شناسایی می‌شود:

Bitdefender:
   – Trojan.GenericKD.40417053

McAfee:
   – Artemis!CD1974C09F71

Sophos:
   – Mal/Generic-S

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *