อีเมลเอกสารส่งของปลอม แอบแนบ DarkComet โทรจัน

แคมเปญ Malspam ใหม่ที่ทำการส่งสแปมและแนบไฟล์สำหรับติดตั้ง DarkComet Remote Access Trojan (RAT) โดยหลังจากทำการติดตั้งแล้ว มัลแวร์จะสามารถควบคุมการทำงานของเครื่องคอมพิวเตอร์ได้

RAT เป็น Trojan ที่พยายามควบคุมเครื่องคอมพิวเตอร์จากระยะทางไกล โดยสามารถขโมยข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส ผู้ใช้งานจึงควรระวังในการติดไวรัสตัวนี้

ทาง BleepingComputer ได้รับการแจ้งเตือนครั้งแรกจากแคมเปญนี้โดยนักวิจัยด้านความปลอดภัย Vishal Thakur ผู้ตรวจพบอีเมล และทำการวิเคราะห์มัลแวร์ ซึ่งอีเมลเหล่านี้จะมีหัวข้อที่คล้ายกันคือ “”Shipping docs#330” และพยายามทำให้เหมือนเป็นเอกสารจัดส่งเพื่อรอการอนุมัติจากผู้รับ

ภาพแสดงตัวอย่างของไฟล์แนบในอีเมล ภาพจาก www.bleepingcomputer.com

ภายในอีเมลมีไฟล์แนบรวมอยู่ โดยไฟล์ที่แนบรวมมานั้นเป็น .z ที่มีรูปแบบคล้าย ๆ แบบนี้ DOC000YUT600.pdf.z โดยในเอกสารจะเป็นนามสกุล .src เช่น DOC000YUT600.scr ซึ่งเมื่อถูกรันแล้วจะติดตั้ง DarkComet RAT ลงในคอมพิวเตอร์ และจะทำการติดตั้ง %UserProfile%\Music\regdrv.exe และ%UserProfile%\Videos\Regdriver.exe ซึ่งทำงานอัตโนมัติเพื่อเรียกใช้โปรแกรมปฏิบัติการ Regdriver.exe เมื่อผู้ใช้ล็อกอินเข้าสู่ Windows

เมื่อรันโปรแกรมแล้ว DarkComet จะเริ่มทำการบันทึกการใช้แอปพลิเคชัน การใช้งานบนคีย์บอร์ด และบันทึกลงในไฟล์บันทึกที่อยู่ใน % UserProfile% \ AppData \ Roaming \ dclogs \ folder ไฟล์เหล่านี้จะถูกอัปโหลดไปยังแฮกเกอร์ในช่วงเวลาที่แฮกเกอร์กำหนดเอาไว้

ในขณะที่แฮกเกอร์เชื่อมต่อกับคอมพิวเตอร์ของเหยื่อนั้นจะสามารถสนทนากับเหยื่อได้โดยใช้หน้าจอที่ใช้งานอยู่ ซึ่งอาจทำให้เห็นภาพ หรือเอกสารที่มีข้อมูลรายละเอียดที่สำคัญภายในได้

ภาพตัวอย่างแสดงถึง Log ไฟล์ที่เก็บข้อมูลการใช้งานคอมพิวเตอร์ของเหยื่อจาก www.bleepingcomputer.com

เพื่อความปลอดภัยจากภัยคุกคามดังกล่าว เมื่อคุณได้รับอีเมลแปลก ๆ ที่ไม่รู้แหล่งมา อย่าเปิดลิงก์ หรือเปิดไฟล์เอกสารที่แนบมา จนกว่าคุณจะรู้ว่าใครคือผู้ส่งและยืนยันว่าได้ส่งอีเมลมาให้คุณจริง ควรทำการติดตั้งซอฟต์แวร์แอนตี้ไวรัสเพื่อที่สามารถช่วยป้องกันได้อีกทาง

ข่าวจาก: https://www.bleepingcomputer.com/news/security/beware-of-fake-shipping-docs-malspam-pushing-the-darkcomet-rat/