Darkcomet木马变身“抓鸡狂魔” 腾讯电脑管家精准查杀

　　窃取用户敏感数据、个人银行账户和密码等信息，或者在设备上执行恶意代码实施进一步的网络攻击活动，形形色色的钓鱼邮件让人防不胜防，也令人深恶痛绝。近日，腾讯智慧安全御见威胁情报中心监测发现，一利用僵尸网络进行违法活动的“抓鸡狂魔”团伙活动热度呈上升趋势，该团伙通过鱼叉邮件、下载站传播远程控制木马，在全球范围内批量抓“肉鸡”以收集用户隐私信息、机密文件，乃至发起DDoS攻击，给用户造成巨大的网络安全威胁。

　　据了解，“抓鸡狂魔”团伙擅长利用Darkcomet远程控制木马发起网络攻击活动。Darkcomet木马诞生于2008年，又称“暗黑彗星”木马，是国外有名的后门类木马。该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容，还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时，攻击者还可用被控制的电脑作跳板，对其它目标发起DDoS攻击。尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新，但是目前仍有大量攻击者使用该工具进行网络攻击。

　　(图：“抓鸡狂魔”病毒团伙的部分关联信息展示)

　　据腾讯安全技术安全专家介绍，“抓鸡狂魔”团伙近两年攻击事件频发。其中从2018年4月份开始，通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件发起攻击。同时，该团伙擅长利用Darkcomet、Njrat、Netwire等工具发起网络攻击，通过常用钓鱼手法，比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等，而且利用已公开的漏洞来提高攻击成功率。

　　作为一款古老的远程控制木马，Darkcomet常见通过鱼叉邮件传播，作为攻击RAT(远程控制管理的简称)，功能十分强大。区别于其他远程控制木马，Darkcomet木马已形成一套独立的传输协议，数据收发时都会进行加解密，确保顺利通信。

　　经溯源追踪，目前该木马控制服务器大多位于美国、法国，通过攻击使用话术和样本资源信息分析，评估认为该团伙位于欧美地区的可能性较大。根据腾讯智慧安全御见情报中心分析，Darkcomet远程控制木马(“暗黑彗星”木马)国内感染率最高的为广东、浙江和河南，分别为21.8%，13.85%和8.55%。

　　(图：“抓鸡狂魔”地域分布)

　　由于该木马目标锁定企业及个人用户，波及范围较为广泛，影响极为恶劣。为此，腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大用户，务必养成良好的上网习惯，保持腾讯电脑管家等主流杀毒软件开启并运行状态，勿轻信网站提示关闭或退出杀毒软件，及时更新系统补丁，并实时拦截该类病毒风险;同时建议用户通过正规渠道下载软件，不要随意点开来历不明的邮件附件，可有效降低该类木马攻击的风险。

　　(图：企业级安全防御产品腾讯御点)

　　针对企业用户，马劲松提醒企业网络管理员，建议全网安装终端安全管理系统，推荐使用腾讯智慧安全御点终端安全管理系统统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业网络管理者全面了解、管理企业内网安全状况、保护企业网络信息安全。

特别提醒：本网内容转载自其他媒体，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。