อีเมลเอกสารส่งของปลอม แอบแนบ DarkComet โทรจัน
แคมเปญ Malspam ใหม่ที่ทำการส่งสแปมและแนบไฟล์สำหรับติดตั้ง DarkComet Remote Access Trojan (RAT) โดยหลังจากทำการติดตั้งแล้ว มัลแวร์จะสามารถควบคุมการทำงานของเครื่องคอมพิวเตอร์ได้
RAT เป็น Trojan ที่พยายามควบคุมเครื่องคอมพิวเตอร์จากระยะทางไกล โดยสามารถขโมยข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส ผู้ใช้งานจึงควรระวังในการติดไวรัสตัวนี้
ทาง BleepingComputer ได้รับการแจ้งเตือนครั้งแรกจากแคมเปญนี้โดยนักวิจัยด้านความปลอดภัย Vishal Thakur ผู้ตรวจพบอีเมล และทำการวิเคราะห์มัลแวร์ ซึ่งอีเมลเหล่านี้จะมีหัวข้อที่คล้ายกันคือ “”Shipping docs#330” และพยายามทำให้เหมือนเป็นเอกสารจัดส่งเพื่อรอการอนุมัติจากผู้รับ
ภายในอีเมลมีไฟล์แนบรวมอยู่ โดยไฟล์ที่แนบรวมมานั้นเป็น .z ที่มีรูปแบบคล้าย ๆ แบบนี้ DOC000YUT600.pdf.z โดยในเอกสารจะเป็นนามสกุล .src เช่น DOC000YUT600.scr ซึ่งเมื่อถูกรันแล้วจะติดตั้ง DarkComet RAT ลงในคอมพิวเตอร์ และจะทำการติดตั้ง %UserProfile%\Music\regdrv.exe และ%UserProfile%\Videos\Regdriver.exe ซึ่งทำงานอัตโนมัติเพื่อเรียกใช้โปรแกรมปฏิบัติการ Regdriver.exe เมื่อผู้ใช้ล็อกอินเข้าสู่ Windows
เมื่อรันโปรแกรมแล้ว DarkComet จะเริ่มทำการบันทึกการใช้แอปพลิเคชัน การใช้งานบนคีย์บอร์ด และบันทึกลงในไฟล์บันทึกที่อยู่ใน % UserProfile% \ AppData \ Roaming \ dclogs \ folder ไฟล์เหล่านี้จะถูกอัปโหลดไปยังแฮกเกอร์ในช่วงเวลาที่แฮกเกอร์กำหนดเอาไว้
ในขณะที่แฮกเกอร์เชื่อมต่อกับคอมพิวเตอร์ของเหยื่อนั้นจะสามารถสนทนากับเหยื่อได้โดยใช้หน้าจอที่ใช้งานอยู่ ซึ่งอาจทำให้เห็นภาพ หรือเอกสารที่มีข้อมูลรายละเอียดที่สำคัญภายในได้
เพื่อความปลอดภัยจากภัยคุกคามดังกล่าว เมื่อคุณได้รับอีเมลแปลก ๆ ที่ไม่รู้แหล่งมา อย่าเปิดลิงก์ หรือเปิดไฟล์เอกสารที่แนบมา จนกว่าคุณจะรู้ว่าใครคือผู้ส่งและยืนยันว่าได้ส่งอีเมลมาให้คุณจริง ควรทำการติดตั้งซอฟต์แวร์แอนตี้ไวรัสเพื่อที่สามารถช่วยป้องกันได้อีกทาง
