【安全圈】DarkComet 木馬偽裝成比特幣錢包卷土重來

關鍵詞

網絡攻擊

Point Wild 下屬的 Lat61 威脅情報團隊近期披露了一起典型的社工誘餌攻擊樣本：攻擊者將長期流傳的遠程訪問木馬 DarkComet 包裝成一款看似合法的比特幣錢包工具，通過壓縮包投放并誘導用戶運行，從而在受害者機器上悄然取得長期控制權。該樣本的技術細節和行為鏈在分析報告中有詳盡記錄，研究人員已將發現通報業界以示警示。

攻擊載體通常以一個 RAR 壓縮包出現，解壓后顯現為名為 “94k BTC wallet.exe” 的可執行程序。為了躲避檢測，惡意程序被 UPX 等打包工具處理，使文件體積減小且靜態特征被混淆，增加了普通安全工具在執行前識別的難度。受騙運行后，DarkComet 會復制自身到系統隱藏目錄并創建開機自啟項以實現持久化，同時嘗試連接命令與控制服務器以接收攻擊者下發的控制指令并展開數據竊取或遠程操控。

在行為上，DarkComet 保留其經典功能集：鍵盤記錄、文件竊取、遠程桌面控制以及攝像頭與麥克風監聽等。分析人員在樣本中發現其會將鍵盤記錄保存在本地目錄中，這些日志極有可能包含受害者的密碼、錢包助記詞或其他敏感憑據，一旦被攻擊者獲取則直接帶來財產損失的風險。值得注意的是，DarkComet 雖為數年前的舊工具，但其源碼與大量變種長期在地下市場流傳，因而經常被重新打包并用于當代誘餌場景。

此次事件再次凸顯兩個易被忽視的安全教訓。其一是來源可信性問題：加密貨幣用戶對錢包與交易工具的需求旺盛，以“比特幣錢包”“交易工具”等名義的可執行文件自然成為高效的社會工程誘餌。其二是打包與持久化技術對防護的挑戰，UPX 等壓縮與加殼技術會顯著降低傳統靜態檢測的命中率，從而要求防御方在執行階段增加行為監測與運行時防護。研究團隊因此提醒所有涉及數字貨幣的個人和機構僅從官方或經驗證的渠道下載安裝錢包與交易軟件，并在系統中啟用多層防護與最小權限策略。

對企業與安全團隊的可操作建議包括對入站郵件與附件實施更嚴格的沙箱執行策略，對下載的可執行文件進行復合檢測（靜態簽名、動態行為分析與打包識別），及時封堵已知命令與控制網絡指標，并在終端部署反木馬與端點檢測與響應（EDR）以發現異常持久化或鍵盤記錄行為。對個人用戶則應提高警惕，不要運行來源不明的壓縮包和可執行文件，定期備份重要數據，將錢包私鑰離線保存，并在可能時使用硬件錢包以隔離私鑰暴露風險。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！