DarkComet es un troyano de acceso remoto (RAT) desarrollado por Jean-Pierre Lesueur (conocido como DarkCoderSc [2] ), un programador independiente y codificador de seguridad informática de Francia. Aunque el RAT se desarrolló en 2008, comenzó a proliferar a principios de 2012. El programa fue descontinuado, en parte debido a su uso en la guerra civil siria para monitorear a activistas, pero también debido al miedo de su autor a ser arrestado por razones no especificadas. [1] A partir de agosto de 2018, el desarrollo del programa "ha cesado indefinidamente", y las descargas ya no se ofrecen en su sitio web oficial. [3]
DarkComet permite al usuario controlar el sistema con una interfaz gráfica de usuario . Tiene muchas características que permiten al usuario utilizarlo como herramienta de ayuda remota administrativa; sin embargo, DarkComet tiene muchas características que pueden usarse con fines maliciosos. DarkComet se usa comúnmente para espiar a las víctimas mediante capturas de pantalla, registro de teclas o robo de contraseñas.
En 2014, DarkComet estuvo vinculado al conflicto sirio . La gente en Siria comenzó a utilizar conexiones seguras para eludir la censura del gobierno y la vigilancia de Internet. Esto provocó que el gobierno sirio recurriera al uso de RAT para espiar a sus civiles. Muchos creen que esto es lo que provocó las detenciones de muchos activistas en Siria. [1]
El RAT se distribuyó a través de un "mensaje de chat de Skype con trampa explosiva" que consistía en un mensaje con un icono de Facebook que en realidad era un archivo ejecutable diseñado para instalar DarkComet. [4] Una vez infectada, la máquina de la víctima intentaría enviar el mensaje a otras personas con el mismo mensaje de chat de Skype con trampa explosiva.
Una vez que DarkComet se relacionó con el régimen sirio , Lesueur dejó de desarrollar la herramienta, afirmando: “Nunca imaginé que un gobierno la usaría para espiar”, dijo. “Si hubiera sabido eso, nunca habría creado una herramienta así”. [1]
En 2012, la empresa Arbos Network encontró pruebas de que hackers desconocidos de África utilizaban DarkComet para atacar a militares y jugadores. En ese momento, su principal objetivo eran los Estados Unidos. [5]
Tras el ataque del 7 de enero de 2015 a la revista Charlie Hebdo en París , los piratas informáticos utilizaron el eslogan " #JeSuisCharlie " para engañar a la gente y conseguir que descargaran DarkComet. DarkComet estaba camuflado en una foto de un bebé recién nacido en cuya pulsera se leía "Je suis Charlie". Una vez descargada la foto, los usuarios se vieron comprometidos. [6] Los piratas informáticos aprovecharon el desastre para comprometer tantos sistemas como les fue posible. DarkComet fue descubierto 24 horas después del ataque.
DarkComet, como muchos otros RAT, utiliza una arquitectura de socket inverso. El equipo no infectado con una interfaz gráfica de usuario que permite controlar los infectados es el cliente, mientras que los sistemas infectados (sin interfaz gráfica de usuario) son servidores. [7]
Cuando se ejecuta DarkComet, el servidor se conecta al cliente y le permite controlar y monitorear el servidor. En este punto, el cliente puede usar cualquiera de las funciones que contiene la GUI. Se abre un socket en el servidor y espera recibir paquetes del controlador y ejecuta los comandos cuando los recibe. En algunos casos, el malware puede usar utilidades del sistema para evadir la detección y ganar persistencia. Por ejemplo, puede emplear la técnica T1564.001 iniciando attrib.exe a través de cmd.exe para ocultar el ejecutable principal.
La siguiente lista de características no es exhaustiva, pero son las más importantes que hacen de DarkComet una herramienta peligrosa. Muchas de estas características se pueden utilizar para tomar el control total de un sistema y permiten al cliente tener acceso total cuando se le otorga a través del Control de cuentas de usuario (UAC).
DarkComet también tiene algunas "características divertidas".
DarkComet es un malware muy conocido . Si un usuario instala un antivirus o un eliminador de DarkComet, puede desinfectar su equipo rápidamente. Los equipos que ataca suelen ser cualquier sistema operativo, desde Windows XP hasta Windows 10 .
Las etiquetas antivirus comunes para una aplicación dark comet son las siguientes:
Cuando un ordenador está infectado, intenta crear una conexión a través de un socket con el ordenador del controlador. Una vez que se ha establecido la conexión, el ordenador infectado escucha los comandos del controlador. Si el controlador envía un comando, el ordenador infectado lo recibe y ejecuta la función que se le envíe.
El desarrollo de DarkComet-RAT cesó indefinidamente en julio de 2012. Desde entonces, no ofrecemos descargas, copias ni soporte.[ enlace muerto permanente ]