谨防假冒“送货文件”Malspam

正在进行一项新的malspam活动，该活动假装运送文件并包含安装DarkComet远程访问特洛伊木马的附件。安装DarkComet后，恶意软件可以记录您的击键，应用程序使用情况，截取屏幕截图等。

由于此远程访问特洛伊木马或RAT可以从受感染的计算机中窃取大量信息，因此了解此类威胁非常重要，这样您就不会被错误地感染。

BleepingComputer首先被安全研究员Vishal Thakur警告此活动， 他发现了该电子邮件并分析了恶意软件。这些电子邮件的主题类似于“装运文档＃330”，并假装要发送等待收件人批准的文档。

您可以在下面看到malspam的示例。

电子邮件中包含名称为DOC000YUT600.pdf.z的.z附件。在这个附件里面是一个名为DOC000YUT600.scr的文件，它在执行时会将DarkComet RAT安装到计算机上。

安装后，RAT将安装为 ％UserProfile％\ Music \ regdrv.exe和％UserProfile％\ Videos \ Regdriver.exe。还将创建一个名为“注册表驱动程序”的自动运行，当用户登录Windows时，它将启动Regdriver.exe可执行文件。

运行后，DarkComet将开始记录应用程序使用情况和键盘活动，并将其保存到位于％UserProfile％\ AppData \ Roaming \ dclogs \文件夹中的日志文件中。这些文件将以不同的间隔上传到攻击者。

您可以在下面看到DarkComet日志文件的示例。

在运行时，攻击者还可以连接到您的计算机以执行命令，与您聊天，截取活动窗口的屏幕截图以及执行其他活动。然后，这可以让他们看到敏感的图像或文档，然后可以用来对付你。

与往常一样，为了保护自己免受DarkComet等威胁，请始终确保您的计算机上安装了更新的安全软件，以提供实时保护。此外，除非您知道发件人并确认他们实际上已向您发送了电子邮件，否则请勿打开附件。

即便如此，我强烈建议您使用VirusTotal扫描所有附件，以确保您没有打开恶意文档或文件。