“抓鸡狂魔” Darkcomet木马酷爱“钓鱼” 腾讯电脑管家技术追踪令其现形

窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动,形形色色的钓鱼邮件让人防不胜防,也令人深恶痛绝。近日,腾讯智慧安全御见威胁情报中心监测发现,一利用僵尸网络进行违法活动的“抓鸡狂魔”团伙活动热度呈上升趋势,该团伙通过鱼叉邮件、下载站传播远程控制木马,在全球范围内批量抓“肉鸡”以收集用户隐私信息、机密文件,乃至发起DDoS攻击,给用户造成巨大的网络安全威胁。

据了解,“抓鸡狂魔”团伙擅长利用Darkcomet远程控制木马发起网络攻击活动。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新,但是目前仍有大量攻击者使用该工具进行网络攻击。

“抓鸡狂魔” Darkcomet木马酷爱“钓鱼” 腾讯电脑管家技术追踪令其现形

  (图:“抓鸡狂魔”病毒团伙的部分关联信息展示)

据腾讯安全技术安全专家介绍,“抓鸡狂魔”团伙近两年攻击事件频发。其中从2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件发起攻击。同时,该团伙擅长利用Darkcomet、Njrat、Netwire等工具发起网络攻击,通过常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率。

作为一款古老的远程控制木马,Darkcomet常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。区别于其他远程控制木马,Darkcomet木马已形成一套独立的传输协议,数据收发时都会进行加解密,确保顺利通信。

经溯源追踪,目前该木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,评估认为该团伙位于欧美地区的可能性较大。根据腾讯智慧安全御见情报中心分析,Darkcomet远程控制木马(“暗黑彗星”木马)国内感染率最高的为广东、浙江和河南,分别为21.8%,13.85%和8.55%。

“抓鸡狂魔” Darkcomet木马酷爱“钓鱼” 腾讯电脑管家技术追踪令其现形

  (图:“抓鸡狂魔”地域分布)

由于该木马目标锁定企业及个人用户,波及范围较为广泛,影响极为恶劣。为此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户,务必养成良好的上网习惯,保持腾讯电脑管家等主流杀毒软件开启并运行状态,勿轻信网站提示关闭或退出杀毒软件,及时更新系统补丁,并实时拦截该类病毒风险;同时建议用户通过正规渠道下载软件,不要随意点开来历不明的邮件附件,可有效降低该类木马攻击的风险。

“抓鸡狂魔” Darkcomet木马酷爱“钓鱼” 腾讯电脑管家技术追踪令其现形

  (图:企业级安全防御产品腾讯御点)

针对企业用户,马劲松提醒企业网络管理员,建议全网安装终端安全管理系统,推荐使用腾讯智慧安全御点终端安全管理系统统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业网络管理者全面了解、管理企业内网安全状况、保护企业网络信息安全。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-11-09
“抓鸡狂魔” Darkcomet木马酷爱“钓鱼” 腾讯电脑管家技术追踪令其现形
窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动,形形色色的钓鱼邮件让人防不胜防,也令人深恶痛绝。

长按扫码 阅读全文