Waspadai Email Dokumen Pengirim Palsu yang Berisi DarkComet RAT

282

Waspadai Email Dokumen Pengirim Palsu yang Berisi DarkComet RAT – Serangan spamming email baru sedang berlangsung yang isinya  berupa dokumen pengiriman palsu dan berisi lampiran yang menginstal RAT bernama DarkComet. Ketika DarkComet diinstal, malware memiliki kemampuan untuk mencatat ketukan keyboard kalian (keylogger), penggunaan aplikasi, mengambil screenshot, dan banyak lagi.

RAT ini dapat mencuri sejumlah besar informasi dari komputer yang terinfeksi, penting untuk menyadari ancaman seperti ini sehingga anda tidak menjadi korbannya.

Dilansir dari bleepingcomputer.com, eringatan ini pertama kali datang dari peneliti keamanan Vishal Thakur yang melihat email dan menganalisis malware tersebut. Email ini akan memiliki subjek yang mirip dengan “Shipping docs#330” dan berpura-pura menjadi dokumen pengiriman yang menunggu persetujuan penerima.

Contoh isi emailnya seperti dibawah ini:

Seperti yang terlihat, di dalam email shipping document palsu juga terlampir file berekstensi pdf.z dengan nama seperti DOC000YUT600.pdf.z. Di dalam lampiran ini adalah file bernama DOC000YUT600.scr, yang ketika dijalankan akan menginstal RAT DarkComet ke komputer.

Saat dipasang, RAT akan dipasang di:

  • %UserProfile%\Music\regdrv.exe

dan

  • %UserProfile%\Videos\Regdriver.exe

Autorun juga akan dibuat bernama “Registry Driver” yang akan meluncurkan Regdriver.exe yang dapat dieksekusi ketika pengguna login ke Windows.

Setelah berjalan, DarkComet akan mulai mencatat penggunaan aplikasi dan aktivitas keyboard dan menyimpannya ke file-file log yang terletak di folder :

  • %UserProfile%\AppData\Roaming\dclogs\

File-file ini akan diunggah ke penyerang pada berbagai interval.

Contoh file log DarkComet seperti dibawah ini.

Layaknya kemampuan RAT pada umumnya, saat DarkComet berjalan, penyerang juga dapat terhubung ke komputer anda untuk menjalankan perintah, mengobrol dengan Anda, mengambil screenshot dari jendela aktif, dan melakukan aktivitas lainnya. Ini kemudian dapat memungkinkan mereka untuk melihat gambar atau dokumen sensitif, yang kemudian dapat digunakan untuk melawan Anda.

Seperti biasa, untuk melindungi diri dari ancaman seperti DarkComet, selalu pastikan Anda memiliki perangkat lunak keamanan yang terinstal di komputer Anda yang memberikan perlindungan real-time. Selanjutnya, jangan pernah membuka lampiran kecuali Anda tahu pengirimnya dan telah mengonfirmasi bahwa mereka benar-benar telah mengirimi Anda email tersebut. (yuyudhn/linuxsec)