นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.z ที่แฝงไฟล์ DarkComet RAT แนบมาด้วย
RAT จะติดตั้งในชื่อไฟล์ "%UserProfile%\Music\regdrv.exe" และ "%UserProfile%\Videos\Regdriver.exe" ซึ่งจะทำงานเมื่อผู้ใช้งานเข้าใช้งาน Windows บันทึกการใช้งานรวมทั้งการกด Keyboard ลงในไฟล์ %UserProfile%\AppData\Roaming\dclogs\ เพื่อรอส่งกลับไปยังผู้ไม่หวังดี นอกจากนี้ยังสามารถพิมพ์ข้อความสนทนากับเหยื่อหรือใช้งานหน้าต่างข้อมูลบนหน้าจอได้อีกด้วย
คำแนะนำ
- ติดตั้ง Security Software และหมั่นอัพเดตอยู่เสมอ
- ทุกครั้งที่มี Email ที่แนบไฟล์เอกสารมา เปิดไฟล์แนบต่อเมื่อรู้จักผู้ส่งและได้สอบถามผู้ส่งแล้วว่ามีการแนบไฟล์ดังกล่าวมาจริงๆหรือไม่
- ถ้าเป็นไปได้ควรสแกนไฟล์ที่แนบมาทั้งหมดด้วย VirusTotal เพื่อให้แน่ใจว่าคุณไม่ได้เปิดเอกสารหรือไฟล์ที่เป็นอันตราย
ที่มา : bleepingcomputer
You must be logged in to post a comment.