DarkComet - DarkComet

DarkComet
Desenvolvedor (s) Jean-Pierre Lesueur (DarkCoderSc)
Último lançamento
5.3.1
Sistema operacional Microsoft Windows
Tipo Ferramenta de Administração Remota
Licença freeware
Local na rede Internet https://www.darkcomet-rat.com/

DarkComet é um trojan de acesso remoto (RAT) desenvolvido por Jean-Pierre Lesueur (conhecido como DarkCoderSc), um programador independente e codificador de segurança de computador da França. Embora o RAT tenha sido desenvolvido em 2008, ele começou a proliferar no início de 2012. O programa foi descontinuado, em parte devido ao seu uso na guerra civil síria para monitorar ativistas, mas também devido ao medo de seu autor de ser preso por motivos não identificados . Desde agosto de 2018, o desenvolvimento do programa "cessou indefinidamente" e os downloads não são mais oferecidos em seu site oficial.

DarkComet permite que um usuário controle o sistema com uma interface gráfica de usuário . Possui muitos recursos que permitem ao usuário utilizá-lo como ferramenta administrativa de ajuda remota; no entanto, DarkComet tem muitos recursos que podem ser usados ​​de forma maliciosa. DarkComet é comumente usado para espionar as vítimas fazendo capturas de tela, registro de chaves ou roubo de senhas.

História do DarkComet

Síria

Em 2014, DarkComet estava ligado ao conflito na Síria . As pessoas na Síria começaram a usar conexões seguras para contornar a censura do governo e a vigilância da internet. Isso fez com que o governo sírio recorresse ao uso de RATs para espionar seus civis. Muitos acreditam que foi isso que causou a prisão de muitos ativistas na Síria.

O RAT foi distribuído por meio de uma "mensagem de bate-papo do Skype bloqueada", que consistia em uma mensagem com um ícone do Facebook, que na verdade era um arquivo executável projetado para instalar o DarkComet. Uma vez infectada, a máquina da vítima tentaria enviar a mensagem para outras pessoas com a mesma mensagem de chat do Skype com armadilha.

Uma vez que o DarkComet foi ligado ao regime sírio , Lesueur parou de desenvolver a ferramenta, afirmando: “Nunca imaginei que seria usada por um governo para espionagem”, disse ele. “Se eu soubesse disso, nunca teria criado tal ferramenta.”

Alvo jogadores, militares e governos

Em 2012, a empresa Arbos Network encontrou evidências de que o DarkComet estava sendo usado para atingir militares e jogadores por hackers desconhecidos da África. Na época, eles visavam principalmente os Estados Unidos.

Je Suis Charlie

Na esteira do ataque de 7 de janeiro de 2015 à revista Charlie Hebdo em Paris , os hackers usaram o slogan " #JeSuisCharlie " para enganar as pessoas e fazerem o download do DarkComet. DarkComet estava disfarçado como a foto de um bebê recém-nascido cuja pulseira dizia "Je suis Charlie". Depois que a imagem foi baixada, os usuários ficaram comprometidos. Os hackers aproveitaram o desastre para comprometer o máximo de sistemas possível. DarkComet foi detectado 24 horas após o ataque.

Arquitetura e Recursos

Arquitetura

DarkComet, como muitos outros RATs, usa uma arquitetura de soquete reverso. O computador não infectado com uma GUI que permite o controle dos infectados é o cliente, enquanto os sistemas infectados (sem GUI) são servidores.

Quando DarkComet é executado, o servidor se conecta ao cliente e permite que o cliente controle e monitore o servidor. Neste ponto, o cliente pode usar qualquer um dos recursos contidos na GUI. Um soquete é aberto no servidor e espera receber pacotes do controlador, e executa os comandos quando recebidos.

Características

A lista de recursos a seguir não é exaustiva, mas são os críticos que tornam o DarkComet uma ferramenta perigosa. Muitos desses recursos podem ser usados ​​para assumir completamente o controle de um sistema e permitir ao cliente acesso total quando concedido via UAC.

  • Funções de espião
    • Captura de webcam
    • Captura de Som
    • Área de trabalho remota
    • Keylogger
  • Funções de rede
    • Portas Ativas
    • Compartilhamentos de rede
    • Server Socks5
    • Computadores LAN
    • Gateway de rede
    • Scanner IP
    • Download de url
    • Página de Navegação
    • Redirecionar IP / porta
    • Pontos de acesso WiFi
  • Poder do computador
    • Desligar
    • Desligar
    • Reiniciar
    • Sair
  • Ações do servidor
    • Bloquear computador
    • Reiniciar servidor
    • Fechar servidor
    • Desinstalar servidor
    • Carregar e executar
    • Serviço de edição remota
  • Servidor de atualização
    • De URL
    • De arquivo

DarkComet também tem alguns "recursos divertidos".

  • Recursos divertidos
    • Gerente de diversão
    • Piano
    • Caixa de mensagem
    • Microsoft Reader
    • Chat Remoto

Detecção

DarkComet é um malware amplamente conhecido . Se um usuário instalar um antivírus ou um removedor de darkcomet, eles podem desinfetar o computador rapidamente. Suas máquinas-alvo são normalmente desde o Windows XP até o Windows 10 .

As tags antivírus comuns para um aplicativo Dark Cometa são as seguintes:

  • Trojan [Backdoor] /Win32.DarkKomet.xyk
  • BDS / DarkKomet.GS
  • Backdoor.Win32.DarkKomet! O
  • RAT.DarkComet

Quando um computador é infectado, ele tenta criar uma conexão via soquete para o computador do controlador. Depois de estabelecida a conexão, o computador infectado escuta os comandos do controlador; se o controlador enviar um comando, o computador infectado o receberá e executará qualquer função enviada.

Referências

links externos