【安全圈】DarkComet 木马伪装成比特币钱包卷土重来

关键词

网络攻击

Point Wild 下属的 Lat61 威胁情报团队近期披露了一起典型的社工诱饵攻击样本：攻击者将长期流传的远程访问木马 DarkComet 包装成一款看似合法的比特币钱包工具，通过压缩包投放并诱导用户运行，从而在受害者机器上悄然取得长期控制权。该样本的技术细节和行为链在分析报告中有详尽记录，研究人员已将发现通报业界以示警示。

攻击载体通常以一个 RAR 压缩包出现，解压后显现为名为 “94k BTC wallet.exe” 的可执行程序。为了躲避检测，恶意程序被 UPX 等打包工具处理，使文件体积减小且静态特征被混淆，增加了普通安全工具在执行前识别的难度。受骗运行后，DarkComet 会复制自身到系统隐藏目录并创建开机自启项以实现持久化，同时尝试连接命令与控制服务器以接收攻击者下发的控制指令并展开数据窃取或远程操控。

在行为上，DarkComet 保留其经典功能集：键盘记录、文件窃取、远程桌面控制以及摄像头与麦克风监听等。分析人员在样本中发现其会将键盘记录保存在本地目录中，这些日志极有可能包含受害者的密码、钱包助记词或其他敏感凭据，一旦被攻击者获取则直接带来财产损失的风险。值得注意的是，DarkComet 虽为数年前的旧工具，但其源码与大量变种长期在地下市场流传，因而经常被重新打包并用于当代诱饵场景。

此次事件再次凸显两个易被忽视的安全教训。其一是来源可信性问题：加密货币用户对钱包与交易工具的需求旺盛，以“比特币钱包”“交易工具”等名义的可执行文件自然成为高效的社会工程诱饵。其二是打包与持久化技术对防护的挑战，UPX 等压缩与加壳技术会显著降低传统静态检测的命中率，从而要求防御方在执行阶段增加行为监测与运行时防护。研究团队因此提醒所有涉及数字货币的个人和机构仅从官方或经验证的渠道下载安装钱包与交易软件，并在系统中启用多层防护与最小权限策略。

对企业与安全团队的可操作建议包括对入站邮件与附件实施更严格的沙箱执行策略，对下载的可执行文件进行复合检测（静态签名、动态行为分析与打包识别），及时封堵已知命令与控制网络指标，并在终端部署反木马与端点检测与响应（EDR）以发现异常持久化或键盘记录行为。对个人用户则应提高警惕，不要运行来源不明的压缩包和可执行文件，定期备份重要数据，将钱包私钥离线保存，并在可能时使用硬件钱包以隔离私钥暴露风险。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！