ESET 연구원들은 이러한 인스턴트 메시징 앱의 트로이목마 버전을 사용하여 주로 Android 및 Windows 사용자를 대상으로 하는 수십 개의 모방 Telegram 및 WhatsApp 웹 사이트를 발견했습니다. 우리가 식별한 대부분의 악성 앱은 클립보드의 콘텐츠를 훔치거나 수정하는 맬웨어 유형인 클립퍼입니다. 이들은 모두 피해자의 암호화폐 자금을 쫓고 있으며 여러 암호화폐 지갑을 노리고 있다. 특히 인스턴트 메시징에 중점을 둔 Android 클리퍼를 본 것은 이번이 처음입니다. 또한 이러한 앱 중 일부는 광학 문자 인식(OCR)을 사용하여 손상된 장치에 저장된 스크린샷의 텍스트를 인식합니다. 이는 Android 맬웨어의 또 다른 첫 번째 사례입니다.
이 블로그 포스트의 요점:
- ESET Research는 인스턴트 메시징 앱에 내장된 최초의 클리퍼 인스턴스를 발견했습니다.
- 위협 행위자는 Android 및 Windows용 트로이목마 Telegram 및 WhatsApp 애플리케이션을 사용하여 피해자의 암호화폐 자금을 추적하고 있습니다.
- 악성코드는 피해자가 공격자 소유의 주소에 대한 채팅 메시지로 보내는 암호화폐 지갑 주소를 전환할 수 있습니다.
- 일부 가위는 광학 문자 인식을 악용하여 스크린샷에서 텍스트를 추출하고 암호 화폐 지갑 복구 문구를 훔칩니다.
- 클리퍼 외에도 WhatsApp 및 Telegram의 악성 Windows 버전과 함께 번들로 제공되는 RAT(원격 액세스 트로이 목마)도 발견했습니다.
설립 이전에 앱 디펜스 얼라이언스, 우리는 발견 Google Play 최초의 Android 클리퍼, 이로 인해 Google은 다음을 통해 Android 보안을 개선했습니다. 제한 Android 버전 10 이상의 백그라운드에서 실행되는 앱에 대한 시스템 전체 클립보드 작업. 불행하게도 최신 조사 결과에서 알 수 있듯이 이 작업은 문제를 완전히 제거하는 데 성공하지 못했습니다. 최초의 인스턴트 메시징 클리퍼를 식별했을 뿐만 아니라 여러 클러스터를 발견했습니다. 우리가 발견한 클리퍼의 주요 목적은 피해자의 메시징 통신을 가로채서 보내고 받은 암호화폐 지갑 주소를 공격자의 주소로 교체하는 것입니다. 트로이목마화된 WhatsApp 및 Telegram Android 앱 외에도 동일한 앱의 트로이목마화된 Windows 버전도 발견했습니다.
물론 이것들이 암호 화폐를 뒤쫓는 유일한 모방 응용 프로그램은 아닙니다. 2022년 초에 우리는 확인 공격자는 피해자의 지갑에서 복구 문구를 훔치려는 합법적인 암호화폐 애플리케이션을 재포장하는 데 집중했습니다.
트로이 목마 앱 개요
Telegram과 WhatsApp의 서로 다른 아키텍처로 인해 위협 행위자는 두 가지 각각의 트로이목마 버전을 생성하기 위해 서로 다른 접근 방식을 선택해야 했습니다. Telegram은 오픈 소스 앱이므로 앱의 메시징 기능을 그대로 유지하면서 코드를 변경하는 것은 비교적 간단합니다. 반면에 WhatsApp의 소스 코드는 공개적으로 사용할 수 없습니다. 즉, 악성 코드로 애플리케이션을 다시 패키징하기 전에 위협 행위자는 먼저 수정할 특정 위치를 식별하기 위해 앱 기능에 대한 심층 분석을 수행해야 했습니다.
동일한 일반 목적을 제공하지만 이러한 앱의 트로이목마 버전에는 다양한 추가 기능이 포함되어 있습니다. 더 쉽게 분석하고 설명하기 위해 해당 기능을 기반으로 앱을 여러 클러스터로 분할했습니다. 이 블로그 게시물에서는 Android 클리퍼 클러스터 XNUMX개와 악성 Windows 앱 클러스터 XNUMX개에 대해 설명합니다. 우리는 앱 뒤에 있는 위협 행위자가 여러 개 있기 때문에 다루지 않을 것입니다.
이러한 앱 클러스터에 대해 간략하게 설명하기 전에 클리퍼가 무엇이며 사이버 도둑이 이를 사용하는 이유는 무엇입니까? 일반적으로 맬웨어 서클에서 클리퍼는 시스템 클립보드의 콘텐츠를 복사하거나 수정하는 악성 코드 조각입니다. 클리퍼는 온라인 암호화폐 지갑의 주소가 긴 문자열로 구성되어 있고 사용자가 직접 입력하는 대신 클립보드를 사용하여 주소를 복사하여 붙여넣는 경향이 있기 때문에 암호화폐 절취에 관심이 있는 사이버 범죄자들에게 매력적입니다. 클리퍼는 클립보드의 내용을 가로채고 거기에 있는 암호 화폐 지갑 주소를 도둑이 액세스할 수 있는 주소로 은밀하게 대체함으로써 이를 이용할 수 있습니다.
또한 Android Clippers의 클러스터 1은 피해자의 장치에 저장된 스크린샷과 사진에서 텍스트를 읽기 위해 OCR을 사용하는 Android 맬웨어의 첫 번째 인스턴스를 구성합니다. OCR은 암호화폐 지갑 복구에 사용되는 일련의 단어로 구성된 니모닉 코드인 시드 문구를 찾아 훔치기 위해 배포됩니다. 악의적인 행위자가 시드 문구를 손에 넣으면 연결된 지갑에서 직접 모든 암호화폐를 자유롭게 훔칠 수 있습니다.
클러스터 1의 고급 기술 사용에 비해 클러스터 2는 매우 간단합니다. 이 맬웨어는 채팅 통신에서 피해자의 암호화폐 지갑 주소를 공격자의 주소로 전환합니다. 주소는 하드코딩되거나 공격자의 서버에서 동적으로 검색됩니다. 이것은 Telegram 외에도 트로이목마 WhatsApp 샘플을 식별한 유일한 Android 클러스터입니다.
클러스터 3은 암호화폐와 관련된 특정 키워드에 대한 텔레그램 통신을 모니터링합니다. 이러한 키워드가 인식되면 악성코드는 전체 메시지를 공격자 서버로 보냅니다.
마지막으로 클러스터 4의 안드로이드 클리퍼는 피해자의 지갑 주소를 전환할 뿐만 아니라 내부 텔레그램 데이터와 기본 기기 정보도 빼냅니다.
Windows 맬웨어와 관련하여 두 번째 Android Clipper 클러스터와 마찬가지로 구성원이 Telegram 메시지를 가로채서 암호화 지갑 주소를 전환하기 위해 수정하는 Telegram cryptocurrency clippers 클러스터가 있었습니다. 차이점은 Windows 버전 Telegram의 소스 코드에 있으며, 악의적인 행위자가 자신의 지갑 주소 입력을 구현하려면 추가 분석이 필요했습니다.
확립된 패턴과 달리 두 번째 Windows 클러스터는 클리퍼가 아니라 피해자의 시스템을 완전히 제어할 수 있는 RAT(원격 액세스 트로이 목마)로 구성됩니다. 이러한 방식으로 RAT는 애플리케이션 흐름을 가로채지 않고 암호화폐 지갑을 훔칠 수 있습니다.
콘텐츠 배급
카피캣 애플리케이션에서 사용되는 언어를 기반으로 이들 운영자는 주로 중국어를 사용하는 사용자를 대상으로 하는 것으로 보입니다.
Telegram과 WhatsApp은 몇 년 동안 중국에서 차단되었으며 이후 Telegram도 차단되었습니다. 2015 그리고 WhatsApp 이후 2017, 이러한 서비스를 이용하고자 하는 사람들은 이를 얻기 위한 간접적인 수단에 의존해야 합니다. 당연히 이것은 사이버 범죄자들이 상황을 남용할 수 있는 무르익은 기회를 구성합니다.
이 블로그 게시물에 설명된 공격의 경우 공격자는 먼저 사기성 YouTube 채널로 이어지는 Google Ads를 설정한 다음 불행한 시청자를 그림 1과 같이 모방한 Telegram 및 WhatsApp 웹사이트로 리디렉션합니다. 특정 Telegram 그룹은 또한 중국 외부에 무료 프록시 서비스가 있다고 주장하는 앱의 악성 버전을 광고했습니다(그림 2 참조). 이러한 사기성 광고와 관련 YouTube 채널을 발견했을 때 Google에 신고했고 즉시 모든 채널을 폐쇄했습니다.
언뜻 보기에 이러한 모방 앱이 배포되는 방식이 상당히 복잡해 보일 수 있습니다. 그러나 중국에서 Telegram, WhatsApp 및 Google Play 앱이 모두 차단된 상황에서 중국의 Android 사용자는 공식적으로 사용할 수 없는 앱을 얻고자 할 때 몇 가지 후프를 뛰어넘는 데 익숙할 수 있습니다. 사이버 범죄자들은 이 사실을 알고 있으며 피해자가 다운로드할 WhatsApp 또는 Telegram 앱을 Google에서 검색할 때 처음부터 피해자를 함정에 빠뜨리려고 합니다. 위협 행위자는 YouTube로 리디렉션되는 Google Ads(그림 3 참조)를 구입했습니다. 이 광고는 공격자가 검색 결과 상단에 도달하는 데 도움이 되고 가짜 웹사이트가 사기로 표시되는 것을 방지합니다. Google Ads는 아마도 매우 신뢰할 수 있다고 생각합니다.
모방 웹사이트에 대한 링크는 일반적으로 YouTube 채널의 "정보" 섹션에서 찾을 수 있습니다. 이러한 설명의 예는 그림 4의 매우 대략적인 번역에서 볼 수 있습니다.
조사 중에 수백 개의 YouTube 채널이 수십 개의 위조된 Telegram 및 WhatsApp 웹사이트를 가리키는 것을 발견했습니다. 일부는 그림 5에서 볼 수 있습니다. 이러한 사이트는 합법적인 서비스를 사칭하고(그림 6 참조) 다운로드용 앱의 데스크톱 및 모바일 버전을 모두 제공합니다. . 분석된 앱 중 어느 것도 Google Play 스토어에서 사용할 수 없었습니다.
그림 6. Telegram 및 WhatsApp을 모방한 웹사이트
Analysis
합법적인 Telegram 및 WhatsApp 앱으로 재패키징되는 다양한 유형의 악성 코드를 발견했습니다. 분석된 앱은 매우 유사한 패턴을 사용하여 거의 동시에 생겨났지만 모두 같은 위협 행위자가 개발한 것은 아닌 것 같습니다. 대부분의 악성 앱이 텔레그램과 왓츠앱 통신에서 암호화폐 주소를 대체할 수 있는 것 외에 이들 사이에 추가 연결 징후는 없습니다.
가짜 웹사이트는 Telegram 및 WhatsApp을 사용할 수 있는 모든 운영 체제에 대한 다운로드 링크를 제공하지만 모든 Linux 및 macOS 링크와 대부분의 iOS 링크는 서비스의 공식 웹사이트로 리디렉션됩니다. 사기성 웹사이트로 연결되는 몇 가지 iOS 링크의 경우 분석 당시 앱을 더 이상 다운로드할 수 없었습니다. 따라서 Windows 및 Android 사용자가 공격의 주요 대상이 됩니다.
안드로이드 트로이 목마
트로이목마에 감염된 Android 앱의 주요 목적은 피해자의 채팅 메시지를 가로채고 암호화폐 지갑 주소를 공격자 소유로 바꾸거나 공격자가 피해자의 암호화폐 자금을 훔칠 수 있는 민감한 정보를 빼내는 것입니다. 특히 인스턴트 메시징을 대상으로 하는 클리퍼를 본 것은 이번이 처음입니다.
메시지를 수정할 수 있으려면 공격자는 두 서비스 앱의 원본 코드를 철저히 분석해야 했습니다. Telegram은 오픈 소스 애플리케이션이기 때문에 사이버 범죄자는 자신의 악성 코드를 기존 버전에 삽입하고 컴파일하기만 하면 됩니다. 그러나 WhatsApp의 경우 악성 기능을 추가하려면 바이너리를 직접 수정하고 다시 패키징해야 했습니다.
지갑 주소를 교체할 때 Telegram용 트로이목마 앱이 WhatsApp용 앱과 다르게 작동하는 것을 관찰했습니다. 악성 텔레그램 앱을 사용하는 피해자는 애플리케이션이 다시 시작될 때까지 원래 주소를 계속 보게 되며, 표시되는 주소는 공격자의 주소가 됩니다. 대조적으로, 트로이목마가 포함된 WhatsApp을 사용하는 경우 피해자 자신의 주소가 전송된 메시지에 표시되는 반면 메시지 수신자는 공격자의 주소를 받게 됩니다. 이는 그림 7에 나와 있습니다.
클러스터 1
클러스터 1은 모든 Android 맬웨어에서 최초로 알려진 OCR 남용 인스턴스를 구성하기 때문에 가장 흥미롭습니다. 이 경우 트로이 목마가 적용된 Telegram 앱은 합법적인 머신 러닝 플러그인을 사용합니다. Android의 ML 키트 피해자의 장치에서 이미지를 검색하려면 . JPG 및 .PNG 확장 프로그램, Android에서 가장 일반적인 스크린샷 형식입니다. 악성코드는 피해자가 기기에 백업으로 보관했을 수 있는 암호화폐 지갑 복구 문구(니모닉이라고도 함)의 스크린샷을 찾습니다.
장치의 파일을 반복하고 OCR을 통해 실행하는 악성 기능 인식 텍스트 기능은 그림 8에서 볼 수 있습니다.
그림 9와 같이 인식 텍스트 문자열을 찾습니다 니모닉 or 니모닉 문구 (mnemonic in Chinese) 이미지에서 추출한 텍스트에 텍스트와 이미지를 모두 C&C 서버로 전송합니다. 특정 사례에서 키워드 목록이 XNUMX개 항목, 특히 助记词로 확장된 것을 보았습니다. 기억을 돕는, 암기, 암기, 복구 문구, 복구 구문, 지갑, 메타마스카, 구, 비밀, 복구 문구.
클러스터 2
악의적인 활동을 지원하기 위해 고급 방법을 사용하는 클러스터 1과 달리 Android 클리퍼의 두 번째 클러스터는 네 가지 중에서 가장 덜 복잡합니다. 이러한 악성 앱은 추가 악성 기능 없이 단순히 지갑 주소를 교환합니다. 클러스터 2의 트로이 목마는 대부분 비트코인, 이더리움 및 TRON 코인 지갑의 주소를 대체하며 일부는 Monero 및 Binance의 지갑을 전환할 수도 있습니다. 메시지가 가로채고 수정되는 방식은 그림 10과 11에서 볼 수 있습니다.
클러스터 2는 Telegram뿐만 아니라 WhatsApp 샘플도 발견한 유일한 Android 클러스터입니다. 두 가지 유형의 트로이목마 앱은 그림 11과 같이 하드코딩된 공격자 지갑 주소 목록을 가지고 있거나 그림 12와 같이 C&C 서버에서 동적으로 요청합니다.
클러스터 3
이 클러스터는 "mnemonic", "bank", "address", "account" 및 "Yuan"과 같은 중국어로 된 특정 키워드에 대한 Telegram 통신을 모니터링합니다. 키워드 중 일부는 하드코딩되어 있고 나머지는 C&C 서버에서 수신하므로 언제든지 변경하거나 확장할 수 있습니다. 클러스터 3 클리퍼가 키워드를 인식하면 전체 메시지가 사용자 이름, 그룹 또는 채널 이름과 함께 C&C 서버로 전송됩니다(그림 13 참조).
클러스터 4
마지막으로 확인된 안드로이드 클리퍼 클러스터인 클러스터 4는 암호화폐 주소를 대체할 수 있을 뿐만 아니라 구성 파일, 전화 번호, 장치 정보, 사진, 텔레그램 사용자 이름 및 설치된 앱 목록을 획득하여 피해자의 텔레그램 데이터를 빼낼 수 있습니다. Telegram 앱의 이러한 악성 버전에 로그인하면 메시지, 연락처 및 구성 파일과 같이 저장된 모든 개인 내부 데이터가 위협 행위자에게 표시됩니다.
시연을 위해 이 클러스터의 가장 침입적인 트로이목마 앱에 초점을 맞추겠습니다. 이 맬웨어는 5.2MB보다 작고. JPG 확장하고 훔칩니다. 또한 장치에 대한 기본 정보, 설치된 애플리케이션 목록 및 전화번호도 유출할 수 있습니다. 도난당한 모든 파일은 정보.zip 그런 다음 C&C로 유출됩니다. 이 클러스터 내의 모든 멀웨어는 동일한 ZIP 파일 이름을 사용하여 공통 작성자 또는 코드베이스를 제안합니다. 분석 장치에서 유출된 파일 목록은 그림 14에서 볼 수 있습니다.
Windows 트로이 목마
우리가 발견한 트로이 목마화된 Android 앱과 달리 Windows 버전은 클리퍼뿐만 아니라 원격 액세스 트로이 목마로 구성되어 있습니다. Clippers는 주로 암호 도용에 초점을 맞추지만 RAT는 스크린샷 찍기 및 파일 삭제와 같은 보다 다양한 악의적인 작업을 수행할 수 있습니다. 그들 중 일부는 클립보드를 조작하여 암호 화폐 지갑을 훔칠 수도 있습니다. Windows 앱은 Android 버전과 동일한 도메인에서 발견되었습니다.
암호 화폐 가위
우리는 Windows cryptocurrency clippers의 두 가지 샘플을 발견했습니다. Android 클리퍼의 클러스터 2와 마찬가지로 이들은 트로이 목마화된 Telegram 클라이언트를 통해 전송된 메시지를 가로채고 수정합니다. 그들은 Android 클러스터와 동일한 지갑 주소를 사용합니다. 즉, 동일한 위협 행위자로부터 온 것일 가능성이 큽니다.
두 개의 Clipper 샘플 중 첫 번째는 필요한 모든 종속성 및 정보가 바이너리에 직접 포함된 휴대용 실행 파일로 배포됩니다. 이렇게 하면 악성 프로그램이 실행된 후 설치가 이루어지지 않아 피해자가 무언가 잘못되었음을 인식하지 못합니다. 악성코드는 사용자 간의 메시지뿐만 아니라 저장된 모든 메시지, 채널 및 그룹을 가로챕니다.
관련 Android Cluster 2와 유사하게 메시지 수정을 담당하는 코드는 하드코딩된 패턴을 사용하여 메시지 내부의 암호화폐 주소를 식별합니다. 이들은 그림 15에서 노란색으로 강조 표시되어 있습니다. 발견되면 코드는 원래 주소를 공격자 소유의 해당 주소(빨간색으로 강조 표시됨)로 바꿉니다. 이 클리퍼는 비트코인, 이더리움 및 TRON에 중점을 둡니다.
두 번째 클리퍼는 합법적인 Telegram 설치 프로그램과 동일한 표준 설치 프로세스를 사용합니다. 그러나 프로세스가 겉으로 보기에는 문제가 없는 것처럼 보이더라도 설치된 실행 파일은 무해한 것과는 거리가 멉니다. 합법적인 Telegram과 비교할 때 키와 함께 단일 바이트 XOR 암호를 사용하여 암호화된 두 개의 추가 파일이 포함되어 있습니다. 0xff. 파일에는 C&C 서버 주소와 C&C와 통신하는 데 사용되는 에이전트 ID가 포함되어 있습니다.
이번에는 하드코딩된 주소가 사용되지 않습니다. 대신 클리퍼는 HTTP POST 요청을 통해 C&C에서 메시지 패턴과 해당 암호화폐 지갑 주소를 모두 얻습니다. C&C와의 통신은 Android 클리퍼의 클러스터 2에 표시된 것과 동일한 방식으로 작동합니다(그림 12).
암호화폐 지갑 주소를 교환하는 것 외에도 이 클리퍼는 피해자의 전화번호와 Telegram 자격 증명을 훔칠 수 있습니다. 이 트로이 목마 앱에 감염된 사람이 새 기기에서 로그인을 시도하면 Telegram 계정으로 전송된 로그인 코드를 입력하라는 요청을 받습니다. 코드가 도착하면 맬웨어가 알림을 자동으로 가로채고 선택적 암호와 함께 확인 코드가 위협 행위자의 손에 들어갑니다.
첫 번째 Windows Clipper 샘플과 유사하게 비트코인, 이더리움 또는 TRON 암호화폐 지갑 주소가 포함된 이 악성 버전의 Telegram을 사용하여 전송된 모든 메시지는 공격자가 제공한 주소를 대체하도록 수정됩니다(그림 16 참조). 그러나 Android 버전과 달리 피해자는 채팅 기록을 비교하지 않고는 메시지가 변조되었음을 발견할 수 없습니다. 애플리케이션 시작 시 코드가 다시 실행됩니다. 반면 수신자는 공격자 지갑만 받습니다.
그림 16. 합법적인 Telegram 클라이언트(왼쪽)와 트로이 목마 클라이언트(오른쪽)
원격 액세스 트로이 목마
우리가 발견한 나머지 악성 앱은 원격 액세스 트로이 목마와 함께 번들로 제공되는 Telegram 및 WhatsApp 설치 프로그램 형태로 배포됩니다. RAT가 시스템에 대한 액세스 권한을 얻은 후에는 RAT가 작동하기 위해 Telegram이나 WhatsApp을 실행할 필요가 없습니다. 관찰된 샘플에서 악성코드는 주로 다음을 사용하여 간접적으로 실행되었습니다. DLL 사이드 로딩, 따라서 공격자가 합법적인 응용 프로그램 실행 뒤에 자신의 행동을 숨길 수 있습니다. 이러한 RAT는 암호화폐 지갑을 훔치는 데 명시적으로 집중하지 않기 때문에 클리퍼와 크게 다릅니다. 대신 다양한 기능을 갖춘 여러 모듈을 포함하여 위협 행위자가 클립보드 데이터 도용, 키 입력 로깅, Windows 레지스트리 쿼리, 화면 캡처, 시스템 정보 획득 및 파일 작업 수행과 같은 작업을 수행할 수 있습니다. 우리가 발견한 각 RAT는 약간 다른 모듈 조합을 사용했습니다.
한 가지 예외를 제외하고 우리가 분석한 모든 원격 액세스 트로이 목마는 악명 높은 유령 쥐, 공개 가용성으로 인해 사이버 범죄자가 자주 사용하는 맬웨어입니다. 흥미로운 점은 Gh0st RAT의 코드는 기본적으로 Gh0st로 설정된 특수 패킷 플래그를 사용한다는 것입니다. 플래그를 변경할 때 멀웨어 버전에 더 적합한 것을 사용하거나 플래그를 전혀 사용하지 않을 수 있습니다. 그들은 또한 우리가 분석하는 동안 발견된 한 사례에서처럼 깃발을 람보르기니 (이탈리아 고급 자동차 브랜드의 별명과 같이, 그림 17 참조).
Gh0st RAT에 완전히 기반하지 않은 그룹 중 유일한 RAT는 GhXNUMXst RAT의 코드를 사용했습니다. HP 소켓 C&C 서버와 통신하기 위한 라이브러리. 다른 RAT와 비교하여 이 RAT는 실행 체인 중에 훨씬 더 많은 안티 분석 런타임 검사를 사용합니다. 소스 코드는 발견된 나머지 트로이 목마와 확실히 다르지만 기능은 기본적으로 동일합니다. 파일 작업을 수행하고, 시스템 정보 및 실행 중인 프로그램 목록을 얻고, 일반적으로 사용되는 브라우저의 프로필을 삭제하고, 잠재적으로 악성 파일 등. 우리는 이것이 Gh0st 구현에서 영감을 받을 수 있는 사용자 지정 빌드라고 생각합니다.
예방 및 제거
Android
Google Play 스토어와 같이 신뢰할 수 있고 신뢰할 수 있는 소스에서만 앱을 설치하십시오.
Android Telegram 앱을 통해 암호화폐 지갑 주소를 공유하는 경우 전송한 주소가 애플리케이션을 다시 시작한 후 표시되는 주소와 일치하는지 다시 한 번 확인하세요. 그렇지 않은 경우 수신자에게 해당 주소를 사용하지 말라고 경고하고 메시지를 제거해 보십시오. 안타깝게도 이 기술은 Android용 트로이목마 WhatsApp에 적용할 수 없습니다.
트로이목마에 감염된 Telegram의 경우 이전 팁이 적용되지 않는다는 점에 유의하십시오. 지갑 주소의 수신자는 공격자의 지갑만 볼 수 있기 때문에 주소가 진짜인지 알 수 없습니다.
니모닉 문구, 암호 및 개인 키와 같은 민감한 정보가 포함된 암호화되지 않은 사진이나 스크린샷을 장치에 저장하지 마십시오.
Telegram 또는 WhatsApp의 트로이목마 버전이 있다고 생각되면 장치에서 수동으로 제거하고 Google Play 또는 합법적인 웹사이트에서 직접 앱을 다운로드하십시오.
Windows
Telegram 설치 프로그램이 합법적인지 확실하지 않은 경우 파일의 디지털 서명이 유효하고 Telegram FZ-LLC에 발급되었는지 확인하십시오.
Telegram 앱이 악성이라고 의심되는 경우 보안 솔루션을 사용하여 위협을 감지하고 제거하는 것이 좋습니다. 이러한 소프트웨어를 소유하지 않은 경우에도 무료로 사용할 수 있습니다. ESET 온라인 스캐너.
Windows용 WhatsApp의 유일한 공식 버전은 현재 Microsoft 스토어에서 사용할 수 있습니다. 다른 소스에서 애플리케이션을 설치한 경우 애플리케이션을 삭제한 다음 장치를 스캔하는 것이 좋습니다.
결론
모방 웹사이트를 통해 배포된 트로이목마 Telegram 및 WhatsApp 앱을 조사하는 동안 인스턴트 메시지를 가로채고 피해자의 암호화폐 지갑 주소를 공격자의 주소로 바꾸는 Android 클리퍼의 첫 번째 인스턴스를 발견했습니다. 또한 일부 클리퍼는 OCR을 악용하여 피해자의 기기에 저장된 이미지에서 니모닉 문구를 추출하는데, 이는 우리가 처음 본 화면 읽기 기술을 악의적으로 사용하는 것입니다.
우리는 또한 원격 액세스 트로이 목마와 번들로 제공되는 Windows용 Telegram 및 WhatsApp 설치 프로그램뿐만 아니라 지갑 전환 클리퍼의 Windows 버전도 발견했습니다. RAT는 다양한 모듈을 통해 공격자가 피해자의 시스템을 제어할 수 있도록 합니다.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.
IoC
파일
SHA-1 | 패키지 이름 | Detection System | 상품 설명 |
---|---|---|---|
C3ED82A01C91303C0BEC36016D817E21615EAA07 | org.telegram.messenger | 안드로이드/클리퍼.I | 클러스터 4에 있는 Android용 Telegram의 트로이 목마 버전. |
8336BF07683F40B38840865C60DB1D08F1D1789D | org.telegram.messenger | 안드로이드/클리퍼.I | 클러스터 4에 있는 Android용 Telegram의 트로이 목마 버전. |
E67065423DA58C0025E411E8E56E0FD6BE049474 | org.tgplus.메신저 | 안드로이드/클리퍼.J | 클러스터 1에 있는 Android용 Telegram의 트로이 목마 버전. |
014F1E43700AB91C8C5983309751D952101B8ACA | org.telegram.messenger | 안드로이드/클리퍼.K | 클러스터 2 및 클러스터 3에 있는 Android용 Telegram의 트로이 목마 버전. |
259FE1A121BA173B2795901C426922E32623EFDA | org.telegram.messenger.web2 | 안드로이드/클리퍼.L | 클러스터 2에 있는 Android용 Telegram의 트로이 목마 버전. |
0A79B29FC0B04D3C678E9B95BFF72A9558A632AC | org.telegram.messenger | 안드로이드/클리퍼.M | 클러스터 1에 있는 Android용 Telegram의 트로이 목마 버전. |
D44973C623E680EE0A4E696C99D1AB8430D2A407 | org.telegram.messenger | 안드로이드/클리퍼.N | 클러스터 1에 있는 Android용 Telegram의 트로이 목마 버전. |
88F34441290175E3AE2FE0491BFC206899DD158B | org.telegram.messenger | 안드로이드/클리퍼.O | 클러스터 4에 있는 Android용 Telegram의 트로이 목마 버전. |
0936D24FC10DB2518973C17493B6523CCF8FCE94 | io.busniess.va.WhatsApp | 안드로이드/클리퍼.V | 클러스터 1에 있는 Android용 WhatsApp의 트로이 목마 버전. |
8E98438103C855C3E7723140767749DEAF8CA263 | com.whatsapp | 안드로이드/클리퍼.V | 클러스터 1에 있는 Android용 WhatsApp의 트로이 목마 버전. |
5243AD8BBFBC4327B8C4A6FD64401912F46886FF | com.whatsapp | 안드로이드/클리퍼.V | 클러스터 1에 있는 Android용 WhatsApp의 트로이 목마 버전. |
SHA-1 | 파일 이름 | Detection System | 상품 설명 |
---|---|---|---|
646A70E4F7F4502643CDB9AA241ACC89C6D6F1C0 | 텔레그램.exe | Win32/Agent.AEWM | 첫 번째 클러스터에 있는 Windows Telegram의 트로이 목마 버전. |
858A5B578A0D8A0D511E502DE16EC2547E23B375 | 텔레그램.exe | Win64/PSW.Agent.CS | 첫 번째 클러스터에 있는 Windows Telegram의 트로이 목마 버전. |
88AAC1C8AB43CD540E0677BAA1A023FDA88B70C4 | 텔레그램.exe | Win64/PSW.Agent.CT | 첫 번째 클러스터에 있는 Windows Telegram의 트로이 목마 버전. |
F3D2CCB4E7049010B18A3300ABDEB06CF3B75FFA | 텔레그램.exe | Win64/PSW.Agent.CT | 첫 번째 클러스터에 있는 Windows Telegram의 트로이 목마 버전. |
A5EB91733FD5CDC8386481EA9856C20C71254713 | 1.exe | Win32/TrojanDownloader.Agent.GLD | 두 번째 Windows 클러스터에 있는 트로이 목마화된 Telegram의 악성 다운로더. |
34FA6E6B09E08E84D3C544F9039CB14624080A19 | libcef.dll | Win32/Kryptik.HMVR | 두 번째 Windows 클러스터에 있는 트로이 목마화된 Telegram의 악성 DLL. |
5E4021AE96D4B28DD27382E3520E8333288D7095 | 1.txt | Win32/Farfli.BUR | 두 번째 Windows 클러스터의 Gh0st RAT 변종. |
14728633636912FB91AE00342D7C6D7050414D85 | BASICNETUTILS.dll | Win32/Agent.AEMT | 두 번째 Windows 클러스터에 있는 트로이 목마화된 Telegram의 악성 DLL. |
B09E560001621AD79BE31A8822CA72F3BAC46F64 | BASICNETUTILS.dll | Win32/Agent.AEMT | 두 번째 Windows 클러스터에 있는 트로이 목마화된 Telegram의 악성 DLL. |
70B8B5A0BFBDBBFA6BA6C86258C593AD21A89829 | 템플릿X.TXT | Win32/Farfli.CUO | 두 번째 Windows 클러스터의 Gh0st RAT 변종. |
A51A0BCCE028966C4FCBB1581303980CF10669E0 | 템플릿X.TXT | Win32/Farfli.CUO | 두 번째 Windows 클러스터의 Gh0st RAT 변종. |
A2883F344831494C605598B4D8C69B23A896B71A | collec.exe | Win64/GenKryptik.FZHX | 두 번째 클러스터에 있는 트로이 목마화된 Windows Telegram의 악성 다운로더. |
F8005F22F6E8EE31953A80936032D9E0C413FD22 | ZM.log | Win32/Farfli.DBP | 두 번째 Windows 클러스터에서 C&C와 통신하기 위해 HP-Socket 라이브러리를 사용하는 RAT. |
D2D2B0EE45F0540B906DE25B1269D257578A25BD | DuiLib.dll | Win32/Agent.AEXA | 두 번째 클러스터에 있는 트로이 목마화된 Windows Telegram의 악성 DLL. |
564F7A88CD5E1FF8C318796127A3DA30BDDE2AD6 | 전보.msi | Win32/TrojanDownloader.Agent.GLD | 두 번째 클러스터에 있는 Windows Telegram 설치 프로그램의 트로이목마 버전. |
C5ED56584F224E7924711EF47B39505D4D1C98D2 | TG_ZH.exe | Win32/Farfli.CUO | 두 번째 클러스터에 있는 Windows Telegram 설치 프로그램의 트로이 목마 버전. |
2DCDAAAEF094D60BC0910F816CBD42F3C76EBEE9 | TG_CN.exe | Win32/Farfli.CUO | 두 번째 클러스터에 있는 Windows Telegram 설치 프로그램의 트로이 목마 버전. |
31878B6FC6F96703AC27EBC8E786E01F5AEA5819 | 텔레그램.exe | Win64/PSW.Agent.CS | 첫 번째 클러스터에 있는 Windows Telegram 설치 프로그램의 트로이 목마 버전. |
58F7E6E972774290DF613553FA2120871436B9AA | 飞机中文版X64.zip(기계 번역: 항공기 중국어 버전) | Win64/GenKryptik.FZHX 트로이 목마 | 두 번째 클러스터에 Windows Telegram 설치 프로그램의 트로이목마 버전이 포함된 아카이브. |
CE9CBB3641036E7053C494E2021006563D13E1A6 | 전보.7z | Win32/Agent.AEWM 트로이 목마 | 두 번째 클러스터에 있는 트로이 목마화된 Windows Telegram 실행 파일의 휴대용 버전을 포함하는 아카이브. |
7916BF7FF4FA9901A0C6030CC28933A143C2285F | 왓츠앱.exe | 에이전트.AEUO | 첫 번째 Windows 클러스터에 있는 Windows WhatsApp 설치 프로그램의 트로이 목마 버전. |
B26EC31C9E8D2CC84DF8B771F336F64A12DBD484 | webview_support.dll | 에이전트.AEUO | 두 번째 Windows 클러스터에 있는 트로이목마 WhatsApp의 악성 DLL. |
366D12F749B829B436474C9040E8102CEC2AACB4 | 업그레이드.xml | Win32/Farfli.DCC | 두 번째 Windows 클러스터의 암호화된 악성 페이로드. |
A565875EDF33016D8A231682CC4C19FCC43A9A0E | CSLoader.dll | Win32/Farfli.DCC | 두 번째 Windows 클러스터의 Shellcode 인젝터. |
CFD900B77494574A01EA8270194F00E573E80F94 | 1.dll | Win32/Farfli.BLH | 두 번째 Windows 클러스터의 Gh0st RAT 변종. |
18DE3283402FE09D2FF6771D85B9DB6FE2B9D05E | 텔레그램.exe | Win64/PSW.Agent.CT | 첫 번째 클러스터에 있는 Windows Telegram 설치 프로그램의 트로이 목마 버전. |
네트워크
도메인/IP | 처음 본 | 세부 정보 |
---|---|---|
테베그램[.]com | 2022-07-25 | 유통사이트. |
전보[.]랜드 | 2021-09-01 | 유통사이트. |
x-텔레그램[.]앱 | 2022-04-24 | 유통사이트. |
하오-텔레그램[.]com | 2022-03-12 | 유통사이트. |
전보[.]팜 | 2021-03-22 | 유통사이트. |
t-텔레그름[.]com | 2022-08-29 | 유통사이트. |
텔레그램[.]org | 2022-08-23 | 유통사이트. |
텔레그램nm[.]org | 2022-08-22 | 유통사이트. |
텔레그램[.]com | 2021-12-01 | 유통사이트. |
텔레그롬[.]com | 2022-09-09 | 유통사이트. |
텔레그램xs[.]com | 2022-07-27 | 유통사이트. |
텔레그씨엔[.]com | 2022-11-04 | 유통사이트. |
전보[.]gs | 2022-09-15 | 유통사이트. |
전보-c[.]com | 2022-08-11 | 유통사이트. |
whotsapp[.]넷 | 2022-10-15 | 유통사이트. |
텔레그론[.]org | 2022-08-10 | 유통 및 C&C 웹사이트. |
텔레즈[.]com | 2022-09-09 | 유통 및 C&C 웹사이트. |
텔레그램zn[.]com | 2022-08-22 | 유통 및 C&C 웹사이트. |
토큰.jdy[.]나 | 2021-10-29 | 씨앤씨 서버. |
텔레그롬[.]org | 2020-01-02 | 씨앤씨 서버. |
코인파카이[.]com | 2022-06-17 | 씨앤씨 서버. |
업로드.buchananapp[.]COM | 2022-07-18 | 씨앤씨 서버. |
137.220.141[.]13 | 2021-08-15 | 씨앤씨 서버. |
api.oktask88[.]com | 2022-05-09 | 씨앤씨 서버. |
jk.cqbblmy[.]com | 2022-11-09 | 씨앤씨 서버. |
103.212.230[.]41 | 2020-07-04 | 씨앤씨 서버. |
j.pic6005588[.]com | 2022-08-31 | 씨앤씨 서버. |
b.pic447[.]com | 2022-08-06 | 씨앤씨 서버. |
180.215.88[.]227 | 2020-03-18 | 씨앤씨 서버. |
104.233.144[.]130 | 2021-01-13 | 씨앤씨 서버. |
부서.microsoft중간 이름[.]tk | 2022-08-06 | 악성 페이로드 배포 웹사이트. |
공격자 지갑
동전 | 지갑 주소 |
---|---|
비트코인 | 36uqLsndC2kRJ9xy6PiuAxK3dYmqXw8G93 |
비트코인 | 3GekkwGi9oCizBAk6Mki2ChdmTD4LRHKAB |
비트코인 | 35b4KU2NBPVGd8nwB8esTmishqdU2PPUrP |
비트코인 | 3QtB81hG69yaiHkBCTfPKeZkR8i2yWe8bm |
비트코인 | 396naR218NHqPGXGggKzKcXuJD3KDmeLsR |
비트코인 | 3K1f9uyae9Fox44kZ7AAZ8eJU98jsya86X |
비트코인 | 1Jp8WCP5hWrvnhgf3uDxn8bHXSqt48XJ5Z |
비트코인 | 32xFkwSa2U3hE9W3yimShS3dANAbZxxh8w |
비트코인 | bc1q0syn34f2q4nuwwunaymzhmfcs28j6tm2cq55fw |
비트코인 | bc1qvtj4z66nv85atkgs4a5veg30dc0jf6p707juns |
이더리움 | 0xc4C47A527FE03E92DCe9578E4578cF4d4605b1E1 |
이더리움 | 0x2097831677A4838A63b4E4E840D1b2Be749FC1ab |
이더리움 | 0x8aE1B343717BD7ba43F0bB2407d5253F9604a481 |
이더리움 | 0x276a84565dcF98b615ff2FB12c42b1E9Caaf7685 |
이더리움 | 0x31bdE5A8Bf959CD0f1d4006c15eE48055ece3A5c |
이더리움 | 0xf7A84aa7F4a70262DFB4384fb9D419c14BC1DD9D |
이더리움 | 0x0EF13Db9Cb63Fb81c58Fb137034dA85DFE6BE020 |
이더리움 | 0x24a308B82227B09529132CA3d40C92756f0859EE |
이더리움 | 0xe99A0a26184392635C5bf1B3C03D68360DE3b1Aa |
이더리움 | 0x59e93c43532BFA239a616c85C59152717273F528 |
이더리움 | 0xF90acFBe580F58f912F557B444bA1bf77053fc03 |
Tron | TX1rZTNB5CdouYpNDRXKBS1XvxVdZ3HrWI |
Tron | TQA7ggPFKo2C22qspbmANCXKzonuX슈아 |
Tron | TTqBt5gUPjEPrPgzmKxskCeyxGWU377YZ8 |
Tron | TQXz8w94zVJxQy3pAaVsAo6nQRpj5chmuG |
Tron | TN1JVt3ix5qwWyNvJy38nspqoJXB2hVjwm |
Tron | TGFXvyTMTAzWZBKqLJUW4esEPb5q8vu2mC |
Tron | TCo4xVY5m7jN2JhMSgVzvf7mKSon92cYxi |
Tron | TYoYxTFbSB93v4fhUSDUVXpniB3Jz7z9WA |
Tron | TSeCVpujFahFS31vBWULwdoJY6DqAaq1Yf |
Tron | TMCqjsKrEMMogeLGPpb9sdMiNZNbQXG8yA |
Tron | TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB |
Tron | TTsWNLiWkYkUXK1bUmpGrNFNuS17cSvwWK |
바이낸스 | bnb1fp4s2w96genwknt548aecag07mucw95a4z4ly0 |
MITRE ATT&CK 기술
이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 MITRE ATT&CK 모바일 기술의
술책 | ID | 성함 | 상품 설명 |
---|---|---|---|
발견 | T1418 | 소프트웨어 검색 | Android Clipper는 설치된 애플리케이션 목록을 얻을 수 있습니다. |
수집 | T1409 | 저장된 애플리케이션 데이터 | Android Clipper는 Telegram 앱의 내부 저장소에서 파일을 추출합니다. |
명령 및 제어 | T1437.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | Android Clipper는 HTTP 및 HTTPS를 사용하여 C&C 서버와 통신합니다. |
여과 | T1646 | C2 채널을 통한 유출 | Android Clipper는 C&C 채널을 통해 훔친 데이터를 유출합니다. |
영향 | T1641.001 | 데이터 조작: 전송된 데이터 조작 | Android Clipper는 Telegram 통신에서 암호화폐 지갑을 교환합니다. |
이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 MITRE ATT&CK 기업 기술의.
술책 | ID | 성함 | 상품 설명 |
---|---|---|---|
실행 | T1106 | 네이티브 API | Trojanized Windows Telegram은 Windows API 기능을 사용합니다. 쉘실행ExA C&C에서 받은 쉘 명령을 실행합니다. |
고집 | T1547.001 | 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | Trojanized Windows Telegram은 지속성을 위해 자신을 Startup 디렉토리에 복사합니다. |
권한 에스컬레이션 | T1134 | 액세스 토큰 조작 | Trojanized Windows Telegram은 토큰 권한을 조정하여 활성화합니다. SeDebug권한. |
방어 회피 | T1070.001 | 표시기 제거: Windows 이벤트 로그 지우기 | Trojanized Windows Telegram은 이벤트 로그를 삭제할 수 있습니다. |
T1140 | 파일 또는 정보의 난독화/디코드 | Trojanized Windows Telegram은 RAT DLL을 해독하고 메모리에 로드합니다. | |
T1574.002 | 하이재킹 실행 흐름: DLL 사이드 로딩 | Trojanized Windows Telegram은 합법적인 응용 프로그램을 사용하여 DLL 사이드 로딩을 수행합니다. | |
T1622 | 디버거 회피 | Trojanized Windows Telegram은 다음을 확인합니다. 디버깅 중 디버거가 있는지 여부를 감지하기 위한 PEB의 플래그입니다. | |
T1497 | 가상화/샌드박스 회피 | Trojanized Windows Telegram은 WQL을 통해 가상 시스템에서 실행을 식별합니다. | |
자격 증명 액세스 | T1056.001 | 입력 캡처: 키로깅 | Trojanized Windows Telegram에는 키로거가 있습니다. |
발견 | T1010 | 응용 프로그램 창 검색 | Trojanized Windows Telegram은 다음을 사용하여 응용 프로그램 창을 검색할 수 있습니다. 열거 윈도우. |
T1012 | 쿼리 레지스트리 | Trojanized Windows Telegram은 레지스트리 키를 열거할 수 있습니다. | |
T1057 | 프로세스 발견 | Trojanized Windows Telegram은 시스템에서 실행 중인 프로세스를 나열할 수 있습니다. | |
T1082 | 시스템 정보 검색 | Trojanized Windows Telegram은 시스템 아키텍처, 프로세서, OS 구성 및 하드웨어 정보를 수집합니다. | |
수집 | T1113 | 화면 캡처 | Trojanized Windows Telegram은 피해자의 화면을 캡처합니다. |
T1115 | 클립보드 데이터 | Trojanized Windows Telegram은 피해자로부터 클립보드 데이터를 훔칩니다. | |
명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | Trojanized Windows Telegram은 HTTPS를 사용하여 C&C 서버와 통신합니다. |
T1095 | 비응용 계층 프로토콜 | Trojanized Windows Telegram은 암호화된 TCP 프로토콜을 사용하여 C&C와 통신합니다. | |
T1105 | 인그레스 도구 전송 | Trojanized Windows Telegram은 추가 파일을 다운로드할 수 있습니다. | |
T1573 | 암호화된 채널 | Trojanized Windows Telegram은 TCP 통신을 암호화합니다. | |
여과 | T1041 | C2 채널을 통한 유출 | Trojanized Windows Telegram은 피해자 데이터를 C&C 서버로 전송합니다. |
영향 | T1529 | 시스템 종료/재부팅 | Trojanized Windows Telegram은 피해자의 컴퓨터를 재부팅하거나 종료할 수 있습니다. |
T1565.002 | 데이터 조작: 전송된 데이터 조작 | Trojanized Windows Telegram은 Telegram 통신에서 암호 화폐 지갑을 교환합니다. | |
T1531 | 계정 액세스 제거 | Trojanized Windows Telegram은 일반적으로 사용되는 브라우저의 프로필을 제거하여 피해자가 자신의 웹 계정에 로그인하도록 합니다. |
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets/
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 10
- 1040
- 11
- 12
- 13
- 14
- 15%
- 16
- 17
- 2000
- 2022
- 220
- 23
- 36
- 7
- 8
- 9
- a
- 할 수 있는
- 소개
- 남용
- ACCESS
- 계정
- 계정
- 동작
- 행위
- 방과 후 액티비티
- 배우
- 더하다
- 또한
- 추가
- 또한
- 주소
- 구애
- 광고
- 많은
- 기술 혁신
- 이점
- 광고
- 조언
- 후
- 다시
- 에이전트
- 도움
- 항공기
- All
- 수
- 허용
- 따라
- 또한
- 항상
- 중
- an
- 분석
- 분석하다
- 분석
- 및
- 기계적 인조 인간
- 다른
- 어떤
- API를
- 앱
- 등장하다
- 어플리케이션
- 어플리케이션
- 적용된
- 신청
- 접근
- 앱
- APT
- 아키텍처
- 있군요
- 도착
- AS
- 관련
- At
- 공격
- 매력적인
- 저자
- 자동적으로
- 유효성
- 가능
- 인식
- 배경
- 백업
- 기반으로
- 기본
- 원래
- BE
- 때문에
- 가
- 된
- 전에
- 처음
- 뒤에
- 존재
- 믿으세요
- 속
- 게다가
- 더 나은
- 사이에
- 빈스
- 비트코인
- 차단
- 두
- 상표
- 간단히
- 브라우저
- 빌드
- 내장
- 번들
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 라는
- CAN
- 수
- 포착
- 캡처
- 캡처
- 자동차
- 케이스
- 가지 경우
- 센터
- 어떤
- 확실히
- 체인
- 변경
- 변화
- 채널
- 채널
- 문자
- 문자 인식
- 문자
- 검사
- 확인하는 것이 좋다.
- 중국
- 중국말
- 왼쪽 메뉴에서
- 암호
- 서클
- 주장
- 선명한
- 클라이언트
- 가위
- 클러스터
- 암호
- 코드베이스
- 동전
- 결합
- 왔다
- 공통의
- 일반적으로
- 소통
- 의사 소통
- 커뮤니케이션
- 비교
- 비교
- 완전히
- 복잡한
- 구성
- 구성
- 손상된
- 구성
- 연결
- 고려하다
- 구성
- 콘택트 렌즈
- 포함하는
- 이 포함되어 있습니다
- 함유량
- 내용
- 대조
- 제어
- 동
- 수
- 위조
- 코스
- 만들
- 신임장
- 크립토 통화를
- 암호 화폐
- 암호 화폐 월렛
- 암호 화 지갑
- 암호화 폐기
- 현재
- 관습
- 사용자 정의
- 사이버 범죄자
- 데이터
- 가장 깊은
- 태만
- 방위산업
- 보여
- 의존성
- 배포
- 설명
- 기술 된
- 설명
- 바탕 화면
- 검색
- 개발
- 장치
- 디바이스
- DID
- 다르다
- 차이
- 다른
- 디지털
- 직접
- 발견
- 발견
- 표시된
- 분산
- 분포
- do
- 하지
- 도메인
- 더블
- 다운로드
- 수십
- 두
- ...동안
- 역동적 인
- 마다
- 완화
- 중
- 열한
- 임베디드
- 고용하다
- 가능
- 암호화
- end
- Enterprise
- 확립 된
- 설립
- 이더리움
- 조차
- 이벤트
- 예
- 예외
- 교환
- 실행
- 처형 된
- 실행
- 현존하는
- 확대하는
- 설명
- 확장자
- 확장
- 추출물
- 추출물
- 모조품
- 멀리
- 를
- 그림
- 도
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- Find
- 결과
- finds
- 먼저,
- 처음으로
- 신고 된
- 플래그
- 흐름
- 초점
- 집중
- 집중
- 초점
- 럭셔리
- 힘
- 형태
- 발견
- 사
- 사기의
- 무료
- 자주
- 에
- 가득 찬
- 기능
- 기능성
- 기능
- 자금
- 추가
- 게다가
- 획득
- 일반
- 정품
- 얻을
- 점점
- 섬광
- Go
- 가는
- 구글
- 구글 플레이
- 구글 Play 스토어
- 그룹
- 여러 떼
- 했다
- 손
- 손
- 하드웨어
- 있다
- 도움이
- 숨는 장소
- 더 높은
- 강조
- 보유
- 그러나
- HTML
- HTTP
- HTTPS
- 수백
- ID
- 같은
- 확인
- 식별하다
- 확인
- if
- 영상
- 형상
- 구현
- 이행
- 개선
- in
- 심도
- 표시
- 간접적으로
- 정보
- 순진한
- 문의
- 내부
- 영감
- 설치
- 설치
- 예
- 즉시
- 를 받아야 하는 미국 여행자
- 인텔리전스
- 관심있는
- 흥미있는
- 내부의
- 으로
- 흥미 진진한
- 를 간섭
- iOS
- 발행
- IT
- 이탈리아 사람
- 그
- 그 자체
- 다만
- 유지
- 유지
- 보관 된
- 키
- 키
- 키워드
- 알려진
- 언어
- 성
- 최근
- 층
- 리드
- 지도
- 배우기
- 가장 작은
- 지도
- 왼쪽 (left)
- 합법적 인
- 적게
- 도서관
- 처럼
- LINK
- 모래밭
- 리눅스
- 명부
- 잔뜩
- 기록
- 로깅
- 로그인
- 긴
- 이상
- 봐라.
- 럭셔리
- 기계
- 기계 학습
- 기계
- 맥 OS
- 본관
- 주로
- 제작
- 악성 코드
- 시장 조작
- 수동으로
- 의미
- 방법
- 회원
- 메모리
- 메시지
- 메시지
- 메시지
- 전령
- 방법
- Microsoft
- 수도
- 기억술
- 모바일
- 수정
- 수정
- 모듈
- 모네로
- 모니터
- 배우기
- 또한
- 가장
- 대개
- name
- 필요한
- 필요
- ...도 아니고 ...도 아니다
- 신제품
- 아니
- 없음
- 공고
- 유명한
- 지금
- 번호
- 숫자
- 획득
- 획득
- 얻다
- OCR
- of
- 제공
- 제공
- 제공
- 공무원
- 공무상
- on
- 일단
- ONE
- 온라인
- 만
- 오픈 소스
- 운영
- 운영
- 운영체제
- 행정부
- 운영자
- 기회
- 반대하는
- 광학 문자 인식
- or
- 주문
- 실물
- OS
- 기타
- 기타
- 우리의
- 아웃
- 외부
- 위에
- 자신의
- 자신의 지갑
- 페이지
- 지급
- 부품
- 특별한
- 비밀번호
- 암호
- 무늬
- 패턴
- 사람들
- 수행
- 실행할 수 있는
- 고집
- 사람
- 확인
- 전화
- 사진
- 구문
- 영화
- 조각
- 장소
- 장소
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- Play 스토어
- 플러그인
- 전철기
- 휴대용
- 가능한
- 게시하다
- 잠재적으로
- 제시
- 너무 이른
- 사설
- 개인 키
- 권한
- 아마
- 문제
- 방법
- 프로세스
- 프로세서
- 프로필
- 프로그램
- 프로그램
- 프로토콜
- 제공
- 제공
- 대리
- 공개
- 공개적으로
- 구매 한
- 목적
- 놓다
- 범위
- 쥐
- 읽기
- 읽기
- 받다
- 접수
- 인식
- 인식
- 인정
- 인정하다
- 복구
- 회복
- 빨간색
- 리디렉션
- 레지스트리
- 관련
- 상대적으로
- 관련된
- 신뢰할 수있는
- 신뢰할 수있는 출처
- 먼
- 원격 액세스
- 제거
- 제거
- 교체
- 대체
- 보고
- 보고서
- 의뢰
- 필수
- 연구
- 연구원
- 리조트
- 책임
- REST
- 다시 시작
- 결과
- 공개
- 연락해주세요
- 달리기
- 달리는
- 실행
- s
- 같은
- 본
- 사기
- 주사
- 화면
- 스크린 샷
- 검색
- 수색
- 둘째
- 섹션
- 보안
- 참조
- 씨
- 시드 문구
- 보고
- 보다
- 것
- 본
- 보고
- 송신기
- 전송
- 감각
- 민감한
- 전송
- 연속
- 서비스
- 서비스
- 피복재
- 세트
- 몇몇의
- 공유
- 껍질
- 표시
- 종료
- 크게
- 비슷한
- 간단히
- 이후
- 단일
- 사이트
- 사태
- 약간 다른
- 작은
- So
- 소프트웨어
- 해결책
- 일부
- 무언가
- 출처
- 소스 코드
- 지우면 좋을거같음 . SM
- 특별한
- 구체적인
- 구체적으로
- 분열
- 표준
- 스타트
- 시작
- 훔치다
- 아직도
- 훔친
- 저장
- 저장
- 저장
- 똑 바른
- 끈
- 성공
- 이러한
- 확인
- 교환
- 스와핑
- 스왑
- 스위치
- 체계
- 시스템은
- 테이블
- 받아
- 소요
- 복용
- 목표
- 대상
- 목표
- 기법
- Technology
- 텔레그램
- 이야기
- 보다
- 그
- XNUMXD덴탈의
- 소스
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 이
- 완전히
- 그
- 그래도?
- 위협
- 위협 행위자
- 을 통하여
- 그러므로
- 시간
- 팁
- 에
- 토큰
- 수단
- 상단
- 번역
- TRON
- 신뢰할 수있는
- 시도
- 두
- 유형
- 유형
- 할 수 없는
- 발견
- 불행한 사람
- 운수 나쁘게
- 같지 않은
- 까지
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 사용
- 보통
- 가치
- 변형
- 종류
- 여러
- 확인
- 버전
- 버전
- 대단히
- 를 통해
- 희생자
- 피해자
- 뷰어
- 온라인
- 가상 머신
- 눈에 보이는
- 방문
- 지갑
- 지갑
- 필요
- 였다
- 방법..
- we
- 웹
- 웹 사이트
- 웹 사이트
- 잘
- 했다
- 뭐
- WhatsApp에
- 언제
- 여부
- 어느
- 동안
- 누구
- 모든
- 누구의
- why
- 넓은
- 넓은 범위
- 넓은
- 의지
- 창
- 창
- 과
- 이내
- 없이
- 말
- 일
- 겠지
- 년
- 자신의
- 너의
- 유튜브
- 제퍼 넷
- 지퍼