“抓雞狂魔” Darkcomet木馬酷愛“釣魚” 騰訊電腦管家技術追蹤令其現(xiàn)形

竊取用戶敏感數(shù)據(jù)、個人銀行賬戶和密碼等信息，或者在設備上執(zhí)行惡意代碼實施進一步的網(wǎng)絡攻擊活動，形形色色的釣魚郵件讓人防不勝防，也令人深惡痛絕。近日，騰訊智慧安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，一利用僵尸網(wǎng)絡進行違法活動的“抓雞狂魔”團伙活動熱度呈上升趨勢，該團伙通過魚叉郵件、下載站傳播遠程控制木馬，在全球范圍內(nèi)批量抓“肉雞”以收集用戶隱私信息、機密文件，乃至發(fā)起DDoS攻擊，給用戶造成巨大的網(wǎng)絡安全威脅。

據(jù)了解，“抓雞狂魔”團伙擅長利用Darkcomet遠程控制木馬發(fā)起網(wǎng)絡攻擊活動。Darkcomet木馬誕生于2008年，又稱“暗黑彗星”木馬，是國外有名的后門類木馬。該木馬運行后不僅記錄并上傳受害者輸入的密碼、攝像頭信息等隱私內(nèi)容，還可根據(jù)服務端指令執(zhí)行下載文件、啟動程序、運行腳本等控制操作。同時，攻擊者還可用被控制的電腦作跳板，對其它目標發(fā)起DDoS攻擊。盡管木馬作者于2012年已停止了對“暗黑彗星”木馬的更新，但是目前仍有大量攻擊者使用該工具進行網(wǎng)絡攻擊。

　　(圖：“抓雞狂魔”病毒團伙的部分關聯(lián)信息展示)

據(jù)騰訊安全技術安全專家介紹，“抓雞狂魔”團伙近兩年攻擊事件頻發(fā)。其中從2018年4月份開始，通過投遞帶有CVE-2017-11882等漏洞文檔的魚叉郵件發(fā)起攻擊。同時，該團伙擅長利用Darkcomet、Njrat、Netwire等工具發(fā)起網(wǎng)絡攻擊，通過常用釣魚手法，比如魚叉郵件、偽裝正常程序以假亂真、美女圖標程序等，而且利用已公開的漏洞來提高攻擊成功率。

作為一款古老的遠程控制木馬，Darkcomet常見通過魚叉郵件傳播，作為攻擊RAT(遠程控制管理的簡稱)，功能十分強大。區(qū)別于其他遠程控制木馬，Darkcomet木馬已形成一套獨立的傳輸協(xié)議，數(shù)據(jù)收發(fā)時都會進行加解密，確保順利通信。

經(jīng)溯源追蹤，目前該木馬控制服務器大多位于美國、法國，通過攻擊使用話術和樣本資源信息分析，評估認為該團伙位于歐美地區(qū)的可能性較大。根據(jù)騰訊智慧安全御見情報中心分析，Darkcomet遠程控制木馬(“暗黑彗星”木馬)國內(nèi)感染率最高的為廣東、浙江和河南，分別為21.8%，13.85%和8.55%。

　　(圖：“抓雞狂魔”地域分布)

由于該木馬目標鎖定企業(yè)及個人用戶，波及范圍較為廣泛，影響極為惡劣。為此，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶，務必養(yǎng)成良好的上網(wǎng)習慣，保持騰訊電腦管家等主流殺毒軟件開啟并運行狀態(tài)，勿輕信網(wǎng)站提示關閉或退出殺毒軟件，及時更新系統(tǒng)補丁，并實時攔截該類病毒風險;同時建議用戶通過正規(guī)渠道下載軟件，不要隨意點開來歷不明的郵件附件，可有效降低該類木馬攻擊的風險。

　　(圖：企業(yè)級安全防御產(chǎn)品騰訊御點)

針對企業(yè)用戶，馬勁松提醒企業(yè)網(wǎng)絡管理員，建議全網(wǎng)安裝終端安全管理系統(tǒng)，推薦使用騰訊智慧安全御點終端安全管理系統(tǒng)統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)網(wǎng)絡管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)網(wǎng)絡信息安全。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。