DarkComet

¿Qué es?

DarkComet, también conocido como Breut, Fynloski, Klovbot y DarkKomet, es un malware de tipo troyano de acceso remoto (RAT) con capacidades de backdoor, que se enfoca en infectar dispositivos Windows para obtener su control remoto y facilitar el espionaje, el robo de información y la ejecución de comandos a distancia. Además, proporciona una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Genera puertas traseras persistentes para administrar los sistemas comprometidos.
• Permite el control remoto de los sistemas y la ejecución de comandos y shell, mediante el escritorio remoto (remote desktop) y el control de teclado y ratón.
• Roba credenciales e información sensible, como contraseñas almacenadas, datos del portapapeles e información de los sistemas.
• Registra pulsaciones de teclas (keylogging) para capturar información sensible.
• Accede a los periféricos, como a webcams y micrófonos, para capturar vídeo y audio y obtener información en tiempo real de los usuarios y su entorno.
• Transfiere archivos (subida/bajada) y descarga e instala software adicional en los equipos comprometidos.
• Genera persistencia (autoarranque) y manipula el registro.
• Deshabilita y degrada las defensas de los sistemas, como las funciones de seguridad y el firewall.
• Realiza comunicaciones con los servidores de mando y control (C2) que pueden apoyarse en el protocolo HTTP.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces a sitios web comprometidos, a través de programas maliciosos disfrazados de software legítimo, a través de descargas gratuitas con software malicioso empaquetado o instaladores alterados y a través de la explotación de vulnerabilidades desde sitios web.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

• DarkComet RAT vuelve a circular disfrazado como ejecutable legítimo (CSIRT Financiero)
• Backdoor.DarkComet (Malwarebytes)
• DARKCOMET (Trend Micro)
• Win32/Fynloski (Microsoft)
• HEUR:Backdoor.Win32.Darkcomet.gen (Kaspersky)
• Backdoor.Win32.DarkKomet (Kaspersky)
• DarkComet (Hunt Intelligence)
• DarkComet (Mitre ATT&CK)
• DarkComet (Malpedia)