Các nhà nghiên cứu của ESET đã phát hiện ra hàng chục trang web Telegram và WhatsApp bắt chước nhắm mục tiêu chủ yếu là người dùng Android và Windows với các phiên bản trojan của các ứng dụng nhắn tin tức thời này. Hầu hết các ứng dụng độc hại mà chúng tôi đã xác định là clipboard – một loại phần mềm độc hại đánh cắp hoặc sửa đổi nội dung của khay nhớ tạm. Tất cả chúng đều theo đuổi tiền điện tử của nạn nhân, với một số ví tiền điện tử nhắm mục tiêu. Đây là lần đầu tiên chúng tôi thấy các trình cắt Android tập trung cụ thể vào nhắn tin tức thì. Hơn nữa, một số ứng dụng này sử dụng nhận dạng ký tự quang học (OCR) để nhận dạng văn bản từ ảnh chụp màn hình được lưu trữ trên các thiết bị bị xâm nhập, đây là lần đầu tiên đối với phần mềm độc hại Android.
Các điểm chính của bài đăng blog này:
- ESET Research đã tìm thấy phiên bản đầu tiên của clippers được tích hợp trong ứng dụng nhắn tin tức thì.
- Các tác nhân đe dọa đang theo đuổi tiền điện tử của nạn nhân bằng cách sử dụng các ứng dụng Telegram và WhatsApp bị trojan hóa cho Android và Windows.
- Phần mềm độc hại có thể chuyển địa chỉ ví tiền điện tử mà nạn nhân gửi trong tin nhắn trò chuyện sang địa chỉ của kẻ tấn công.
- Một số clipper lạm dụng nhận dạng ký tự quang học để trích xuất văn bản từ ảnh chụp màn hình và đánh cắp các cụm từ khôi phục ví tiền điện tử.
- Ngoài clippers, chúng tôi cũng tìm thấy các trojan truy cập từ xa (RAT) đi kèm với các phiên bản Windows độc hại của WhatsApp và Telegram.
Trước khi thành lập các Liên minh phòng thủ ứng dụng, chúng tôi phát hiện ra clipper Android đầu tiên trên Google Play, dẫn đến việc Google cải thiện bảo mật Android bằng cách hạn chế hoạt động bảng tạm trên toàn hệ thống cho các ứng dụng chạy trong nền dành cho Android phiên bản 10 trở lên. Thật không may, như những phát hiện mới nhất của chúng tôi đã chỉ ra rằng hành động này đã không thành công trong việc loại bỏ hoàn toàn vấn đề: chúng tôi không chỉ xác định được những trình cắt nhắn tin tức thì đầu tiên mà chúng tôi còn phát hiện ra một số cụm trong số chúng. Mục đích chính của clippers mà chúng tôi phát hiện là chặn thông tin liên lạc nhắn tin của nạn nhân và thay thế mọi địa chỉ ví tiền điện tử được gửi và nhận bằng địa chỉ của những kẻ tấn công. Ngoài các ứng dụng WhatsApp và Telegram Android bị trojan hóa, chúng tôi cũng tìm thấy các phiên bản Windows bị trojan hóa của các ứng dụng tương tự.
Tất nhiên, đây không phải là những ứng dụng bắt chước duy nhất theo đuổi tiền điện tử – chỉ vào đầu năm 2022, chúng tôi xác định các tác nhân đe dọa tập trung vào việc đóng gói lại các ứng dụng tiền điện tử hợp pháp nhằm đánh cắp các cụm từ khôi phục từ ví của nạn nhân.
Tổng quan về các ứng dụng bị trojan
Do kiến trúc khác nhau của Telegram và WhatsApp, những kẻ đe dọa đã phải chọn một cách tiếp cận khác để tạo ra các phiên bản bị trojan hóa của cả hai. Vì Telegram là một ứng dụng mã nguồn mở nên việc thay đổi mã của nó trong khi vẫn giữ nguyên chức năng nhắn tin của ứng dụng là tương đối đơn giản. Mặt khác, mã nguồn của WhatsApp không có sẵn công khai, điều đó có nghĩa là trước khi đóng gói lại ứng dụng bằng mã độc, trước tiên, những kẻ đe dọa phải thực hiện phân tích chuyên sâu về chức năng của ứng dụng để xác định những vị trí cụ thể cần sửa đổi.
Mặc dù phục vụ cùng một mục đích chung, các phiên bản bị trojan hóa của các ứng dụng này chứa nhiều chức năng bổ sung khác nhau. Để dễ phân tích và giải thích hơn, chúng tôi chia các ứng dụng thành nhiều cụm dựa trên các chức năng đó; trong bài đăng trên blog này, chúng tôi sẽ mô tả bốn cụm trình cắt Android và hai cụm ứng dụng Windows độc hại. Chúng tôi sẽ không đi sâu vào các tác nhân đe dọa đằng sau các ứng dụng, vì có một số trong số chúng.
Tuy nhiên, trước khi mô tả ngắn gọn về các cụm ứng dụng đó, clipper là gì và tại sao những kẻ trộm mạng lại sử dụng nó? Nói chung, trong giới phần mềm độc hại, clipper là một đoạn mã độc sao chép hoặc sửa đổi nội dung trong khay nhớ tạm của hệ thống. Do đó, Clippers rất hấp dẫn đối với tội phạm mạng quan tâm đến việc đánh cắp tiền điện tử vì địa chỉ của ví tiền điện tử trực tuyến bao gồm các chuỗi ký tự dài và thay vì nhập chúng, người dùng có xu hướng sao chép và dán địa chỉ bằng bảng tạm. Một clipper có thể lợi dụng điều này bằng cách chặn nội dung của khay nhớ tạm và lén lút thay thế bất kỳ địa chỉ ví tiền điện tử nào ở đó bằng một địa chỉ mà kẻ trộm có thể truy cập.
Cụm 1 của Android clippers cũng tạo thành phiên bản đầu tiên của phần mềm độc hại Android sử dụng OCR để đọc văn bản từ ảnh chụp màn hình và ảnh được lưu trữ trên thiết bị của nạn nhân. OCR được triển khai để tìm và đánh cắp một cụm từ hạt giống, là một mã ghi nhớ bao gồm một loạt các từ được sử dụng để khôi phục ví tiền điện tử. Sau khi các tác nhân độc hại nắm giữ cụm từ hạt giống, chúng có thể tự do đánh cắp tất cả tiền điện tử trực tiếp từ ví được liên kết.
So với việc Cụm 1 sử dụng công nghệ tiên tiến, Cụm 2 rất đơn giản. Phần mềm độc hại này chỉ cần chuyển địa chỉ ví tiền điện tử của nạn nhân thành địa chỉ của kẻ tấn công trong giao tiếp trò chuyện, với các địa chỉ được mã hóa cứng hoặc được truy xuất động từ máy chủ của kẻ tấn công. Đây là cụm Android duy nhất mà chúng tôi đã xác định được các mẫu WhatsApp bị trojan hóa ngoài Telegram.
Cụm 3 giám sát giao tiếp Telegram cho các từ khóa nhất định liên quan đến tiền điện tử. Khi một từ khóa như vậy được nhận dạng, phần mềm độc hại sẽ gửi toàn bộ thông báo đến máy chủ của kẻ tấn công.
Cuối cùng, các trình cắt Android trong Cụm 4 không chỉ chuyển đổi địa chỉ ví của nạn nhân mà còn lấy cắp dữ liệu Telegram nội bộ và thông tin thiết bị cơ bản.
Về phần mềm độc hại Windows, có một nhóm các trình cắt tiền điện tử Telegram mà các thành viên chỉ cần chặn và sửa đổi các tin nhắn Telegram để chuyển địa chỉ ví tiền điện tử, giống như nhóm trình cắt thứ hai của Android. Sự khác biệt nằm ở mã nguồn của phiên bản Windows của Telegram, yêu cầu phân tích bổ sung từ phía các tác nhân độc hại, để có thể triển khai nhập địa chỉ ví của chính chúng.
Khác với mô hình đã thiết lập, cụm Windows thứ hai không bao gồm các trình cắt, mà bao gồm các trojan truy cập từ xa (RAT) cho phép kiểm soát hoàn toàn hệ thống của nạn nhân. Bằng cách này, RAT có thể đánh cắp ví tiền điện tử mà không chặn luồng ứng dụng.
phân phát
Dựa trên ngôn ngữ được sử dụng trong các ứng dụng sao chép, có vẻ như những người điều hành đằng sau chúng chủ yếu nhắm mục tiêu đến người dùng nói tiếng Trung Quốc.
Bởi vì cả Telegram và WhatsApp đã bị chặn ở Trung Quốc trong vài năm nay, với Telegram bị chặn kể từ đó 2015 và WhatsApp kể từ đó 2017, những người muốn sử dụng các dịch vụ này phải sử dụng các phương tiện gián tiếp để có được chúng. Không có gì ngạc nhiên khi điều này tạo cơ hội chín muồi cho tội phạm mạng lợi dụng tình hình.
Trong trường hợp các cuộc tấn công được mô tả trong bài đăng trên blog này, trước tiên, những kẻ đe dọa đã thiết lập Quảng cáo Google dẫn đến các kênh YouTube lừa đảo, sau đó chuyển hướng những người xem kém may mắn đến các trang web Telegram và WhatsApp sao chép, như minh họa trong Hình 1. Ngoài ra, một Nhóm Telegram cụ thể cũng đã quảng cáo một phiên bản độc hại của ứng dụng tuyên bố có dịch vụ proxy miễn phí bên ngoài Trung Quốc (xem Hình 2). Khi chúng tôi phát hiện ra những quảng cáo lừa đảo này và các kênh YouTube có liên quan, chúng tôi đã báo cáo chúng với Google, Google đã nhanh chóng đóng cửa tất cả.
Thoạt nhìn, có vẻ như cách phân phối các ứng dụng sao chép này khá phức tạp. Tuy nhiên, có thể với việc ứng dụng Telegram, WhatsApp và Google Play đều bị chặn ở Trung Quốc, người dùng Android ở đó đã quen với việc nhảy qua nhiều vòng nếu họ muốn tải các ứng dụng chính thức không có sẵn. Tội phạm mạng nhận thức được điều này và cố gắng gài bẫy nạn nhân của chúng ngay từ đầu – khi nạn nhân tìm kiếm ứng dụng WhatsApp hoặc Telegram trên Google để tải xuống. Những kẻ đe dọa đã mua Quảng cáo Google (xem Hình 3) chuyển hướng đến YouTube, điều này vừa giúp kẻ tấn công lên đầu kết quả tìm kiếm, vừa tránh bị các trang web giả mạo của chúng gắn cờ là lừa đảo, vì quảng cáo liên kết đến một dịch vụ hợp pháp. Google Ads có lẽ được coi là rất đáng tin cậy.
Bạn thường có thể tìm thấy các liên kết đến các trang web sao chép trong phần “Giới thiệu” của các kênh YouTube. Một ví dụ về mô tả như vậy có thể được nhìn thấy trong một bản dịch rất thô trong Hình 4.
Trong quá trình nghiên cứu của mình, chúng tôi đã tìm thấy hàng trăm kênh YouTube trỏ đến hàng chục trang web Telegram và WhatsApp giả mạo – một số có thể được nhìn thấy trong Hình 5. Các trang web này mạo danh các dịch vụ hợp pháp (xem Hình 6) và cung cấp cả phiên bản ứng dụng dành cho máy tính để bàn và thiết bị di động để tải xuống . Không có ứng dụng nào được phân tích có sẵn trên cửa hàng Google Play.
Hình 6. Các trang web bắt chước Telegram và WhatsApp
nghiên cứu
Chúng tôi đã tìm thấy nhiều loại mã độc khác nhau được đóng gói lại bằng các ứng dụng Telegram và WhatsApp hợp pháp. Mặc dù các ứng dụng được phân tích ít nhiều đã xuất hiện đồng thời theo một mô hình rất giống nhau, nhưng có vẻ như chúng không được phát triển bởi cùng một tác nhân đe dọa. Bên cạnh việc hầu hết các ứng dụng độc hại có thể thay thế địa chỉ tiền điện tử trong liên lạc Telegram và WhatsApp, không có dấu hiệu nào cho thấy có thêm kết nối giữa chúng.
Mặc dù các trang web giả mạo cung cấp liên kết tải xuống cho tất cả các hệ điều hành có sẵn Telegram và WhatsApp, nhưng tất cả các liên kết Linux và macOS, cũng như hầu hết các liên kết iOS, đều chuyển hướng đến các trang web chính thức của dịch vụ. Trong trường hợp một vài liên kết iOS dẫn đến các trang web lừa đảo, các ứng dụng không còn có sẵn để tải xuống tại thời điểm phân tích của chúng tôi. Do đó, người dùng Windows và Android là mục tiêu chính của các cuộc tấn công.
trojan Android
Mục đích chính của các ứng dụng Android bị trojan hóa là chặn tin nhắn trò chuyện của nạn nhân và hoán đổi bất kỳ địa chỉ ví tiền điện tử nào cho những địa chỉ thuộc về kẻ tấn công hoặc lấy ra thông tin nhạy cảm cho phép kẻ tấn công đánh cắp tiền điện tử của nạn nhân. Đây là lần đầu tiên chúng tôi thấy các clip nhắm mục tiêu cụ thể đến tin nhắn tức thời.
Để có thể sửa đổi thông báo, các tác nhân đe dọa phải phân tích kỹ lưỡng mã gốc của ứng dụng của cả hai dịch vụ. Vì Telegram là một ứng dụng nguồn mở nên tội phạm mạng chỉ phải chèn mã độc của riêng chúng vào một phiên bản hiện có và biên dịch nó; tuy nhiên, trong trường hợp của WhatsApp, tệp nhị phân phải được sửa đổi trực tiếp và đóng gói lại để thêm chức năng độc hại.
Chúng tôi quan sát thấy rằng khi thay thế địa chỉ ví, các ứng dụng bị trojan hóa cho Telegram hoạt động khác với các ứng dụng cho WhatsApp. Nạn nhân sử dụng ứng dụng Telegram độc hại sẽ tiếp tục nhìn thấy địa chỉ ban đầu cho đến khi ứng dụng được khởi động lại, khi đó địa chỉ được hiển thị sẽ là địa chỉ thuộc về kẻ tấn công. Ngược lại, địa chỉ của nạn nhân sẽ được nhìn thấy trong các tin nhắn đã gửi nếu sử dụng WhatsApp bị trojan hóa, trong khi người nhận tin nhắn sẽ nhận được địa chỉ của kẻ tấn công. Điều này được thể hiện trong Hình 7.
Cụm 1
Cụm 1 là cụm hấp dẫn nhất, vì các thành viên của nó tạo thành trường hợp lạm dụng OCR đầu tiên được biết đến trong bất kỳ phần mềm độc hại Android nào. Trong trường hợp này, các ứng dụng Telegram bị trojan sử dụng một plugin máy học hợp pháp có tên là Bộ công cụ ML trên Android để tìm kiếm hình ảnh trên thiết bị của nạn nhân với . Jpg và . Png tiện ích mở rộng, định dạng ảnh chụp màn hình phổ biến nhất trên Android. Phần mềm độc hại tìm kiếm ảnh chụp màn hình của các cụm từ khôi phục ví tiền điện tử (còn được gọi là thuật nhớ) mà nạn nhân có thể đã lưu trên thiết bị làm bản sao lưu.
Chức năng độc hại lặp qua các tệp trên thiết bị và chạy chúng qua OCR nhận dạng văn bản chức năng có thể được nhìn thấy trong Hình 8.
Như thể hiện trong Hình 9, nếu nhận dạng văn bản tìm thấy chuỗi ghi nhớ or Cụm từ ghi nhớ (ghi nhớ bằng tiếng Trung) trong văn bản được trích xuất từ hình ảnh, nó sẽ gửi cả văn bản và hình ảnh đến máy chủ C&C. Trong một số trường hợp, chúng tôi đã thấy danh sách các từ khóa được mở rộng thành mười một mục, cụ thể là 助记词, thuộc về trí nhớ, ghi nhớ, Ghi nhớ, cụm từ khôi phục, Phục hồi cụm từ, ví, METAMASKA, Cụm từ, bí mật, Cụm từ khôi phục.
Cụm 2
Ngược lại với Cụm 1, sử dụng các phương pháp tiên tiến để hỗ trợ các hoạt động độc hại của nó, cụm thứ hai của trình cắt Android ít phức tạp nhất trong số bốn cụm: các ứng dụng độc hại này chỉ đơn giản là hoán đổi địa chỉ ví mà không có thêm chức năng độc hại nào khác. Các trojan trong Cụm 2 hầu hết thay thế các địa chỉ ví bitcoin, Ethereum và TRON, một số trong số chúng cũng có thể chuyển đổi ví cho Monero và Binance. Cách các thông báo bị chặn và sửa đổi có thể được nhìn thấy trong Hình 10 và 11.
Cụm 2 là cụm Android duy nhất mà chúng tôi không chỉ tìm thấy Telegram mà còn cả các mẫu WhatsApp. Cả hai loại ứng dụng bị trojan hóa đều có danh sách mã hóa cứng các địa chỉ ví của kẻ tấn công (như trong Hình 11) hoặc tự động yêu cầu chúng từ máy chủ C&C, như trong Hình 12.
Cụm 3
Cụm này giám sát giao tiếp Telegram cho các từ khóa cụ thể bằng tiếng Trung, chẳng hạn như “mnemonic”, “bank”, “address”, “account” và “Yuan”. Một số từ khóa được mã hóa cứng, trong khi những từ khóa khác được nhận từ máy chủ C&C, nghĩa là chúng có thể được thay đổi hoặc mở rộng bất kỳ lúc nào. Sau khi trình cắt nhóm 3 nhận ra một từ khóa, toàn bộ thông báo, cùng với tên người dùng, nhóm hoặc tên kênh, sẽ được gửi đến máy chủ C&C, như có thể thấy trong Hình 13.
Cụm 4
Cụm trình cắt Android được xác định cuối cùng, Cụm 4, không chỉ có thể thay thế địa chỉ tiền điện tử mà còn lọc dữ liệu Telegram của nạn nhân bằng cách lấy các tệp cấu hình, số điện thoại, thông tin thiết bị, hình ảnh, tên người dùng Telegram và danh sách các ứng dụng đã cài đặt. Đăng nhập vào các phiên bản độc hại này của ứng dụng Telegram có nghĩa là tất cả dữ liệu nội bộ cá nhân được lưu trữ bên trong, chẳng hạn như tin nhắn, danh bạ và tệp cấu hình, sẽ hiển thị đối với các tác nhân đe dọa.
Để chứng minh, hãy tập trung vào ứng dụng bị trojan xâm nhập nhiều nhất của cụm này: phần mềm độc hại này kết hợp bộ lưu trữ Telegram nội bộ cho tất cả các tệp nhỏ hơn 5.2 MB và không có. Jpg mở rộng và đánh cắp chúng. Ngoài ra, nó cũng có thể lọc thông tin cơ bản về thiết bị, danh sách các ứng dụng đã cài đặt và số điện thoại. Tất cả các tập tin bị đánh cắp được lưu trữ trong một thông tin.zip tập tin, sau đó được lọc sang C&C. Tất cả phần mềm độc hại trong cụm này sử dụng cùng một tên tệp ZIP, gợi ý một tác giả hoặc cơ sở mã chung. Có thể xem danh sách các tệp được trích xuất từ thiết bị phân tích của chúng tôi trong Hình 14.
trojan Windows
Trái ngược với các ứng dụng Android bị trojan hóa mà chúng tôi đã phát hiện ra, các phiên bản Windows không chỉ bao gồm clippers mà còn có các trojan truy cập từ xa. Mặc dù các clipper tập trung chủ yếu vào việc đánh cắp tiền điện tử, nhưng RAT có khả năng thực hiện nhiều hành động độc hại hơn như chụp ảnh màn hình và xóa tệp. Một số người trong số họ cũng có thể thao túng khay nhớ tạm, điều này sẽ cho phép họ đánh cắp ví tiền điện tử. Các ứng dụng Windows được tìm thấy ở cùng miền với các phiên bản Android.
Máy cắt tiền điện tử
Chúng tôi đã phát hiện ra hai mẫu trình cắt tiền điện tử của Windows. Cũng giống như Cụm 2 của trình cắt Android, những trình này chặn và sửa đổi các tin nhắn được gửi qua ứng dụng khách Telegram bị trojan hóa. Chúng sử dụng cùng một địa chỉ ví như cụm Android, nghĩa là rất có thể chúng đến từ cùng một tác nhân đe dọa.
Mẫu clipper đầu tiên trong số hai mẫu được phân phối dưới dạng tệp thực thi di động với tất cả các phụ thuộc và thông tin cần thiết được nhúng trực tiếp vào tệp nhị phân của nó. Bằng cách này, không có quá trình cài đặt nào diễn ra sau khi chương trình độc hại được thực thi, khiến nạn nhân không biết rằng có điều gì đó không ổn. Phần mềm độc hại không chỉ chặn tin nhắn giữa những người dùng mà còn chặn tất cả các tin nhắn, kênh và nhóm đã lưu.
Tương tự như Android Cluster 2 có liên quan, mã chịu trách nhiệm sửa đổi tin nhắn sử dụng các mẫu được mã hóa cứng để xác định địa chỉ tiền điện tử bên trong tin nhắn. Những địa chỉ này được đánh dấu màu vàng trong Hình 15. Nếu được tìm thấy, mã này sẽ thay thế các địa chỉ ban đầu bằng các địa chỉ tương ứng thuộc về kẻ tấn công (được đánh dấu màu đỏ). Clipper này tập trung vào bitcoin, Ethereum và TRON.
Clipper thứ hai sử dụng quy trình cài đặt tiêu chuẩn, giống như trình cài đặt Telegram hợp pháp. Tuy nhiên, ngay cả khi quá trình bề ngoài có vẻ vô tội, thì tệp thực thi được cài đặt vẫn không lành tính. So với Telegram hợp pháp, nó chứa hai tệp bổ sung được mã hóa bằng một mật mã XOR byte đơn với khóa 0xff. Các tệp chứa địa chỉ máy chủ C&C và ID tác nhân được sử dụng để giao tiếp với C&C.
Lần này, không có địa chỉ mã hóa cứng nào được sử dụng. Thay vào đó, clipper lấy cả mẫu thông báo và địa chỉ ví tiền điện tử tương ứng từ C&C thông qua yêu cầu HTTP POST. Giao tiếp với C&C hoạt động theo cách tương tự như trong Cụm 2 của Android clippers (Hình 12).
Ngoài việc hoán đổi địa chỉ ví tiền điện tử, clipper này còn có thể đánh cắp số điện thoại và thông tin đăng nhập Telegram của nạn nhân. Khi một người bị xâm nhập bởi ứng dụng trojan này cố gắng đăng nhập trên một thiết bị mới, họ sẽ được yêu cầu nhập mã đăng nhập được gửi đến tài khoản Telegram của họ. Sau khi mã đến, phần mềm độc hại sẽ tự động chặn thông báo và mã xác minh cùng với mật khẩu tùy chọn sẽ nằm trong tay những kẻ đe dọa.
Tương tự như mẫu clipper Windows đầu tiên, bất kỳ tin nhắn nào được gửi bằng phiên bản Telegram độc hại này có chứa địa chỉ ví tiền điện tử bitcoin, Ethereum hoặc TRON sẽ được sửa đổi để thay thế địa chỉ cho những địa chỉ do kẻ tấn công cung cấp (xem Hình 16). Tuy nhiên, không giống như phiên bản Android, nạn nhân sẽ không thể phát hiện ra rằng tin nhắn của họ đã bị giả mạo nếu không so sánh lịch sử trò chuyện: ngay cả sau khi khởi động lại ứng dụng, người gửi sẽ luôn thấy phiên bản gốc của tin nhắn kể từ phần có liên quan của tin nhắn. mã được thực thi lại khi khởi động ứng dụng; mặt khác, người nhận sẽ chỉ nhận được ví của kẻ tấn công.
Hình 16. Ứng dụng khách Telegram hợp pháp (trái) và ứng dụng bị trojan hóa (phải)
Trojan truy cập từ xa
Phần còn lại của các ứng dụng độc hại mà chúng tôi phát hiện được phân phối dưới dạng trình cài đặt Telegram và WhatsApp đi kèm với trojan truy cập từ xa. Khi RAT đã có quyền truy cập vào hệ thống, cả Telegram và WhatsApp đều không cần chạy để RAT hoạt động. Trong các mẫu được quan sát, mã độc chủ yếu được thực thi gián tiếp bằng cách sử dụng Tải bên DLL, do đó cho phép kẻ tấn công che giấu hành động của chúng đằng sau việc thực thi các ứng dụng hợp pháp. Những RAT này khác biệt đáng kể so với clippers, vì chúng không tập trung rõ ràng vào việc đánh cắp ví tiền điện tử. Thay vào đó, chúng chứa một số mô-đun với nhiều chức năng, cho phép các tác nhân đe dọa thực hiện các hành động như đánh cắp dữ liệu khay nhớ tạm, ghi lại các lần nhấn phím, truy vấn Windows Registry, chụp màn hình, lấy thông tin hệ thống và thực hiện các thao tác với tệp. Mỗi RAT mà chúng tôi phát hiện được sử dụng một tổ hợp mô-đun hơi khác nhau.
Với một ngoại lệ, tất cả các trojan truy cập từ xa mà chúng tôi đã phân tích đều dựa trên mã độc khét tiếng RAT thứ 0, phần mềm độc hại thường được tội phạm mạng sử dụng do tính khả dụng công khai của nó. Ngoài một điều thú vị, mã của Gh0st RAT sử dụng cờ gói đặc biệt được đặt thành Gh0st theo mặc định, một giá trị mà các tác nhân đe dọa muốn tùy chỉnh. Khi thay đổi cờ, họ có thể sử dụng thứ gì đó có ý nghĩa hơn đối với phiên bản phần mềm độc hại của họ hoặc họ hoàn toàn không thể sử dụng cờ nào. Họ cũng có thể, như trong một trường hợp được phát hiện trong quá trình phân tích của chúng tôi, tiết lộ những mong muốn sâu sắc nhất của họ bằng cách thay đổi lá cờ thành lambo (như trong, tên hiệu của thương hiệu xe hơi sang trọng của Ý; xem Hình 17).
RAT duy nhất trong nhóm không hoàn toàn dựa trên Gh0st RAT đã sử dụng mã từ ổ cắm HP thư viện để liên lạc với máy chủ C&C của nó. So với các RAT khác, RAT này sử dụng nhiều kiểm tra thời gian chạy chống phân tích hơn đáng kể trong chuỗi thực thi của nó. Mặc dù mã nguồn của nó chắc chắn khác với phần còn lại của trojan đã được phát hiện, nhưng chức năng của nó về cơ bản là giống hệt nhau: nó có khả năng thực hiện các thao tác với tệp, lấy thông tin hệ thống và danh sách các chương trình đang chạy, xóa cấu hình của các trình duyệt thường dùng, tải xuống và chạy một ứng dụng tiềm ẩn. tệp độc hại, v.v. Chúng tôi nghi ngờ rằng đây là bản dựng tùy chỉnh có thể lấy cảm hứng từ việc triển khai Gh0st.
Ngăn chặn và gỡ cài đặt
Android
Chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy và đáng tin cậy, chẳng hạn như cửa hàng Google Play.
Nếu bạn đang chia sẻ địa chỉ ví tiền điện tử qua ứng dụng Telegram trên Android, hãy kiểm tra kỹ xem địa chỉ bạn đã gửi có khớp với địa chỉ được hiển thị sau khi khởi động lại ứng dụng hay không. Nếu không, hãy cảnh báo người nhận không sử dụng địa chỉ và cố gắng xóa thư. Rất tiếc, kỹ thuật này không thể áp dụng cho WhatsApp dành cho Android bị trojan hóa.
Xin lưu ý rằng mẹo trước đó không áp dụng trong trường hợp Telegram bị trojan hóa; vì người nhận địa chỉ ví chỉ nhìn thấy ví của kẻ tấn công nên họ sẽ không thể biết địa chỉ đó có phải là thật hay không.
Không lưu trữ hình ảnh hoặc ảnh chụp màn hình không được mã hóa có chứa thông tin nhạy cảm, chẳng hạn như cụm từ dễ nhớ, mật khẩu và khóa cá nhân trên thiết bị của bạn.
Nếu bạn cho rằng mình có phiên bản Telegram hoặc WhatsApp bị trojan hóa, hãy xóa thủ công phiên bản đó khỏi thiết bị của bạn và tải xuống ứng dụng từ Google Play hoặc trực tiếp từ trang web hợp pháp.
Windows
Trong trường hợp bạn không chắc trình cài đặt Telegram của mình có hợp pháp hay không, hãy kiểm tra xem chữ ký số của tệp có hợp lệ và được cấp cho Telegram FZ-LLC hay không.
Nếu bạn nghi ngờ rằng ứng dụng Telegram của mình là độc hại, chúng tôi khuyên bạn nên sử dụng một giải pháp bảo mật để phát hiện mối đe dọa và loại bỏ nó cho bạn. Ngay cả khi bạn không sở hữu phần mềm như vậy, bạn vẫn có thể sử dụng miễn phí Máy quét trực tuyến ESET.
Phiên bản chính thức duy nhất của WhatsApp dành cho Windows hiện có sẵn trong cửa hàng Microsoft. Nếu bạn đã cài đặt ứng dụng từ bất kỳ nguồn nào khác, chúng tôi khuyên bạn nên xóa ứng dụng đó rồi quét thiết bị của mình.
Kết luận
Trong quá trình nghiên cứu các ứng dụng Telegram và WhatsApp bị trojan phân phối thông qua các trang web sao chép, chúng tôi đã phát hiện ra các trường hợp đầu tiên của trình cắt Android chặn tin nhắn tức thì và trao đổi địa chỉ ví tiền điện tử của nạn nhân để lấy địa chỉ của kẻ tấn công. Hơn nữa, một số người cắt đã lạm dụng OCR để trích xuất các cụm từ dễ nhớ ra khỏi hình ảnh được lưu trên thiết bị của nạn nhân, một cách sử dụng độc hại công nghệ đọc màn hình mà chúng tôi thấy lần đầu tiên.
Chúng tôi cũng tìm thấy các phiên bản Windows của trình cắt chuyển đổi ví, cũng như trình cài đặt Telegram và WhatsApp dành cho Windows đi kèm với trojan truy cập từ xa. Thông qua các mô-đun khác nhau, RAT cho phép kẻ tấn công kiểm soát máy của nạn nhân.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .
IoC
Các tập tin
SHA-1 | Tên gói | Phát hiện | Mô tả |
---|---|---|---|
C3ED82A01C91303C0BEC36016D817E21615EAA07 | org.telegram.mesbah | Android/Clipper.I | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 4. |
8336BF07683F40B38840865C60DB1D08F1D1789D | org.telegram.mesbah | Android/Clipper.I | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 4. |
E67065423DA58C0025E411E8E56E0FD6BE049474 | org.tgplus.messenger | Android/Clipper.J | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 1. |
014F1E43700AB91C8C5983309751D952101B8ACA | org.telegram.mesbah | Android/Clipper.K | Phiên bản bị tấn công của Telegram dành cho Android trong Cụm 2 và Cụm 3. |
259FE1A121BA173B2795901C426922E32623EFDA | org.telegram.messenger.web2 | Android/Clipper.L | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 2. |
0A79B29FC0B04D3C678E9B95BFF72A9558A632AC | org.telegram.mesbah | Android/Clipper.M | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 1. |
D44973C623E680EE0A4E696C99D1AB8430D2A407 | org.telegram.mesbah | Android/Clipper.N | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 1. |
88F34441290175E3AE2FE0491BFC206899DD158B | org.telegram.mesbah | Android/Clipper.O | Phiên bản bị nhiễm trojan của Telegram dành cho Android trong Cụm 4. |
0936D24FC10DB2518973C17493B6523CCF8FCE94 | io.busniess.va.WhatsApp | Android/Clipper.V | Phiên bản bị nhiễm trojan của WhatsApp dành cho Android trong Cụm 1. |
8E98438103C855C3E7723140767749DEAF8CA263 | com.whatsapp | Android/Clipper.V | Phiên bản bị nhiễm trojan của WhatsApp dành cho Android trong Cụm 1. |
5243AD8BBFBC4327B8C4A6FD64401912F46886FF | com.whatsapp | Android/Clipper.V | Phiên bản bị nhiễm trojan của WhatsApp dành cho Android trong Cụm 1. |
SHA-1 | Tên tập tin | Phát hiện | Mô tả |
---|---|---|---|
646A70E4F7F4502643CDB9AA241ACC89C6D6F1C0 | Telegram.exe | Win32/Agent.AEWM | Phiên bản bị nhiễm trojan của Windows Telegram trong cụm đầu tiên. |
858A5B578A0D8A0D511E502DE16EC2547E23B375 | Telegram.exe | Win64/PSW.Agent.CS | Phiên bản bị nhiễm trojan của Windows Telegram trong cụm đầu tiên. |
88AAC1C8AB43CD540E0677BAA1A023FDA88B70C4 | Telegram.exe | Win64/PSW.Agent.CT | Phiên bản bị nhiễm trojan của Windows Telegram trong cụm đầu tiên. |
F3D2CCB4E7049010B18A3300ABDEB06CF3B75FFA | Telegram.exe | Win64/PSW.Agent.CT | Phiên bản bị nhiễm trojan của Windows Telegram trong cụm đầu tiên. |
A5EB91733FD5CDC8386481EA9856C20C71254713 | 1.exe | Win32/TrojanDownloader.Agent.GLD | Trình tải xuống độc hại từ Telegram bị trojan hóa trong cụm Windows thứ hai. |
34FA6E6B09E08E84D3C544F9039CB14624080A19 | libcef.dll | Win32/Kryptik.HMVR | DLL độc hại từ Telegram bị trojan hóa trong cụm Windows thứ hai. |
5E4021AE96D4B28DD27382E3520E8333288D7095 | 1.txt | Win32/Fafli.BUR | Biến thể Gh0st RAT trong cụm Windows thứ hai. |
14728633636912FB91AE00342D7C6D7050414D85 | BASICNETUTILS.dll | Win32/Đại lý.AEMT | DLL độc hại từ Telegram bị trojan hóa trong cụm Windows thứ hai. |
B09E560001621AD79BE31A8822CA72F3BAC46F64 | BASICNETUTILS.dll | Win32/Đại lý.AEMT | DLL độc hại từ Telegram bị trojan hóa trong cụm Windows thứ hai. |
70B8B5A0BFBDBBFA6BA6C86258C593AD21A89829 | mẫuX.TXT | Win32/Farli.CUO | Biến thể Gh0st RAT trong cụm Windows thứ hai. |
A51A0BCCE028966C4FCBB1581303980CF10669E0 | mẫuX.TXT | Win32/Farli.CUO | Biến thể Gh0st RAT trong cụm Windows thứ hai. |
A2883F344831494C605598B4D8C69B23A896B71A | thu thập.exe | Win64/GenKryptik.FZHX | Trình tải xuống độc hại từ Windows Telegram bị trojan hóa trong cụm thứ hai. |
F8005F22F6E8EE31953A80936032D9E0C413FD22 | ZM.log | Win32/Farfli.DBP | RAT sử dụng thư viện HP-Socket để giao tiếp với C&C trong cụm Windows thứ hai. |
D2D2B0EE45F0540B906DE25B1269D257578A25BD | DuiLib.dll | Win32/Đại lý.AEXA | DLL độc hại từ Windows Telegram bị trojan hóa trong cụm thứ hai. |
564F7A88CD5E1FF8C318796127A3DA30BDDE2AD6 | Telegram.msi | Win32/TrojanDownloader.Agent.GLD | Phiên bản Trojan của trình cài đặt Windows Telegram trong cụm thứ hai . |
C5ED56584F224E7924711EF47B39505D4D1C98D2 | TG_ZH.exe | Win32/Farli.CUO | Phiên bản Trojan của trình cài đặt Windows Telegram trong cụm thứ hai. |
2DCDAAAEF094D60BC0910F816CBD42F3C76EBEE9 | TG_CN.exe | Win32/Farli.CUO | Phiên bản Trojan của trình cài đặt Windows Telegram trong cụm thứ hai. |
31878B6FC6F96703AC27EBC8E786E01F5AEA5819 | telegram.exe | Win64/PSW.Agent.CS | Phiên bản Trojan của trình cài đặt Windows Telegram trong cụm đầu tiên. |
58F7E6E972774290DF613553FA2120871436B9AA | 飞机中文版X64.zip (bản dịch máy: Phiên bản tiếng Trung của Máy bay) | Trojan Win64/GenKryptik.FZHX | Lưu trữ chứa phiên bản trojan của trình cài đặt Windows Telegram trong cụm thứ hai. |
CE9CBB3641036E7053C494E2021006563D13E1A6 | Telegram.7z | Trojan Win32/Agent.AEWM | Lưu trữ chứa phiên bản di động của Windows Telegram bị trojan thực thi trong cụm thứ hai. |
7916BF7FF4FA9901A0C6030CC28933A143C2285F | whatsapp.exe | Đại lý.AEUO | Phiên bản Trojan của trình cài đặt Windows WhatsApp trong cụm Windows đầu tiên. |
B26EC31C9E8D2CC84DF8B771F336F64A12DBD484 | webview_support.dll | Đại lý.AEUO | DLL độc hại từ WhatsApp bị trojan hóa trong cụm Windows thứ hai. |
366D12F749B829B436474C9040E8102CEC2AACB4 | nâng cấp.xml | Win32/Fafli.DCC | Tải trọng độc hại được mã hóa trong cụm Windows thứ hai. |
A565875EDF33016D8A231682CC4C19FCC43A9A0E | CSLoader.dll | Win32/Fafli.DCC | Trình tiêm Shellcode trong cụm Windows thứ hai. |
CFD900B77494574A01EA8270194F00E573E80F94 | 1.dll | Win32/Farfli.BLH | Biến thể Gh0st RAT trong cụm Windows thứ hai. |
18DE3283402FE09D2FF6771D85B9DB6FE2B9D05E | telegram.exe | Win64/PSW.Agent.CT | Phiên bản Trojan của trình cài đặt Windows Telegram trong cụm đầu tiên. |
mạng
Tên miền/IP | Lần đầu tiên nhìn thấy | Chi tiết |
---|---|---|
tevegram[.]com | 2022-07-25 | Trang web phân phối. |
điện báo[.]đất | 2021-09-01 | Trang web phân phối. |
ứng dụng x-telegram[.] | 2022-04-24 | Trang web phân phối. |
hao-telegram[.]com | 2022-03-12 | Trang web phân phối. |
telegram[.]trang trại | 2021-03-22 | Trang web phân phối. |
t-telegrm[.]com | 2022-08-29 | Trang web phân phối. |
điện tín[.]org | 2022-08-23 | Trang web phân phối. |
telegramnm[.]org | 2022-08-22 | Trang web phân phối. |
điện tín[.]com | 2021-12-01 | Trang web phân phối. |
telegrrom[.]com | 2022-09-09 | Trang web phân phối. |
telegramxs[.]com | 2022-07-27 | Trang web phân phối. |
telegcn[.]com | 2022-11-04 | Trang web phân phối. |
điện báo[.]gs | 2022-09-15 | Trang web phân phối. |
telegram-c[.]com | 2022-08-11 | Trang web phân phối. |
whotsapp[.]net | 2022-10-15 | Trang web phân phối. |
điện báo[.]org | 2022-08-10 | Trang web phân phối và C&C. |
telezzh[.]com | 2022-09-09 | Trang web phân phối và C&C. |
telegramzn[.]com | 2022-08-22 | Trang web phân phối và C&C. |
token.jdy[.]me | 2021-10-29 | máy chủ C&C. |
telegrom[.]org | 2020-01-02 | máy chủ C&C. |
coinfacai[.]com | 2022-06-17 | máy chủ C&C. |
tải lên.buchananapp[.]com | 2022-07-18 | máy chủ C&C. |
137.220.141 [.] 13 | 2021-08-15 | máy chủ C&C. |
api.oktask88[.]com | 2022-05-09 | máy chủ C&C. |
jk.cqbblmy[.]com | 2022-11-09 | máy chủ C&C. |
103.212.230 [.] 41 | 2020-07-04 | máy chủ C&C. |
j.pic6005588[.]com | 2022-08-31 | máy chủ C&C. |
b.pic447[.]com | 2022-08-06 | máy chủ C&C. |
180.215.88 [.] 227 | 2020-03-18 | máy chủ C&C. |
104.233.144 [.] 130 | 2021-01-13 | máy chủ C&C. |
bộ phận.microsoftmiddlename[.]tk | 2022-08-06 | Trang web phân phối tải trọng độc hại. |
ví kẻ tấn công
Coin | Địa chỉ ví |
---|---|
Bitcoin | 36uqLsndC2kRJ9xy6PiuAxK3dYmqXw8G93 |
Bitcoin | 3GekkwGi9oCizBAk6Mki2ChdmTD4LRHKAB |
Bitcoin | 35b4KU2NBPVGd8nwB8esTmishqdU2PPUrP |
Bitcoin | 3QtB81hG69yaiHkBCTfPKeZkR8i2yWe8bm |
Bitcoin | 396naR218NHqPGXGbgKzKcXuJD3KDmeLsR |
Bitcoin | 3K1f9uyae9Fox44kZ7AAZ8eJU98jsya86X |
Bitcoin | 1Jp8WCP5hWrvnhgf3uDxn8bHXSqt48XJ5Z |
Bitcoin | 32xFkwSa2U3hE9W3yimShS3dANAbZxxh8w |
Bitcoin | bc1q0syn34f2q4nuwwunaymzhmfcs28j6tm2cq55fw |
Bitcoin | bc1qvtj4z66nv85atkgs4a5veg30dc0jf6p707juns |
Ethereum | 0xc4C47A527FE03E92DCe9578E4578cF4d4605b1E1 |
Ethereum | 0x2097831677A4838A63b4E4E840D1b2Be749FC1ab |
Ethereum | 0x8aE1B343717BD7ba43F0bB2407d5253F9604a481 |
Ethereum | 0x276a84565dcF98b615ff2FB12c42b1E9Caaf7685 |
Ethereum | 0x31bdE5A8Bf959CD0f1d4006c15eE48055ece3A5c |
Ethereum | 0xf7A84aa7F4a70262DFB4384fb9D419c14BC1DD9D |
Ethereum | 0x0EF13Db9Cb63Fb81c58Fb137034dA85DFE6BE020 |
Ethereum | 0x24a308B82227B09529132CA3d40C92756f0859EE |
Ethereum | 0xe99A0a26184392635C5bf1B3C03D68360DE3b1Aa |
Ethereum | 0x59e93c43532BFA239a616c85C59152717273F528 |
Ethereum | 0xF90acFBe580F58f912F557B444bA1bf77053fc03 |
Tron | TX1rZTNB5CdouYpNDRXKBS1XvxVdZ3HrWI |
Tron | TQA7ggPFKo2C22qspbmANCXKzonuXShuaa |
Tron | TTqBt5gUPjEPrPgzmKxskCeyxGWU377YZ8 |
Tron | TQXz8w94zVJxQy3pAaVsAo6nQRpj5chmuG |
Tron | TN1JVt3ix5qwWyNvJy38nspqoJXB2hVjwm |
Tron | TGFXvyTMTazWZBKqLJUW4esEPb5q8vu2mC |
Tron | TCo4xVY5m7jN2JhMSgVzvf7mKSon92cYxi |
Tron | TYoYxTFbSB93v4fhUSDUVXpniB3Jz7z9WA |
Tron | TSeCVpujFahFS31vBWULwdoJY6DqAaq1Yf |
Tron | TMCqjsKrEMMogeLGppb9sdMiNZNbQXG8yA |
Tron | TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB |
Tron | TTsWNLiWkYkUXK1bUmpGrNFNuS17cSvwWK |
Binance | bnb1fp4s2w96genwknt548aecag07mucw95a4z4ly0 |
Kỹ thuật MITER ATT & CK
Bảng này được tạo bằng cách sử dụng phiên bản 12 của các kỹ thuật di động MITRE ATT&CK.
Chiến thuật | ID | Họ tên | Mô tả |
---|---|---|---|
khám phá | T1418 | Khám phá phần mềm | Android Clipper có thể lấy danh sách các ứng dụng đã cài đặt. |
Bộ sưu tập | T1409 | Dữ liệu ứng dụng được lưu trữ | Android Clipper trích xuất các tệp từ bộ nhớ trong của ứng dụng Telegram. |
Lệnh và kiểm soát | T1437.001 | Giao thức lớp ứng dụng: Giao thức web | Android Clipper sử dụng HTTP và HTTPS để liên lạc với máy chủ C&C của nó. |
Lọc | T1646 | Lọc qua kênh C2 | Android Clipper lọc dữ liệu bị đánh cắp qua kênh C&C của nó. |
Va chạm | T1641.001 | Thao tác dữ liệu: Thao tác dữ liệu được truyền | Android Clipper trao đổi ví tiền điện tử trong giao tiếp Telegram. |
Bảng này được tạo bằng cách sử dụng phiên bản 12 của các kỹ thuật doanh nghiệp MITRE ATT&CK.
Chiến thuật | ID | Họ tên | Mô tả |
---|---|---|---|
Thực hiện | T1106 | API gốc | Windows bị Trojan Telegram sử dụng chức năng Windows API ShellExecuteExA để thực thi các lệnh shell nhận được từ C&C của nó. |
Persistence | T1547.001 | Boot hoặc Logon Autostart Execution: Registry Run Keys / Startup Folder | Windows bị Trojan Telegram sao chép chính nó vào thư mục Startup để duy trì. |
Nâng cao đặc quyền | T1134 | Thao túng mã thông báo truy cập | Windows bị Trojan Telegram điều chỉnh đặc quyền mã thông báo để kích hoạt SeDebugĐặc quyền. |
Phòng thủ né tránh | T1070.001 | Loại bỏ chỉ báo: Xóa nhật ký sự kiện Windows | Trojanized Windows Telegram có khả năng xóa các bản ghi sự kiện. |
T1140 | Giải mã / giải mã tệp hoặc thông tin | Windows Telegram bị Trojan hóa giải mã và tải RAT DLL vào bộ nhớ. | |
T1574.002 | Luồng thực thi tấn công: Tải bên DLL | Windows bị Trojan Telegram sử dụng các ứng dụng hợp pháp để thực hiện tải bên DLL. | |
T1622 | Trốn tránh trình gỡ lỗi | Windows bị Trojan Telegram kiểm tra đang được gỡ lỗi cờ của PEB để phát hiện xem có trình gỡ lỗi hay không. | |
T1497 | Ảo hóa/Sandbox Evasion | Windows Telegram bị Trojan hóa xác định việc thực thi trong máy ảo thông qua WQL. | |
Quyền truy cập thông tin xác thực | T1056.001 | Chụp đầu vào: Keylogging | Windows bị Trojan Telegram có keylogger. |
khám phá | T1010 | Khám phá cửa sổ ứng dụng | Windows bị tấn công Telegram có thể khám phá các cửa sổ ứng dụng bằng cách sử dụng EnumWindows. |
T1012 | Sổ đăng ký truy vấn | Windows Telegram bị Trojan hóa có thể liệt kê các khóa đăng ký. | |
T1057 | Khám phá quy trình | Windows Telegram bị Trojan hóa có thể liệt kê các tiến trình đang chạy trên hệ thống. | |
T1082 | Khám phá thông tin hệ thống | Windows bị Trojan hóa Telegram thu thập kiến trúc hệ thống, bộ xử lý, cấu hình hệ điều hành và thông tin phần cứng. | |
Bộ sưu tập | T1113 | Chụp màn hình | Windows bị Trojan Telegram chụp màn hình của nạn nhân. |
T1115 | Dữ liệu Clipboard | Windows bị Trojan Telegram đánh cắp dữ liệu clipboard từ nạn nhân. | |
Lệnh và kiểm soát | T1071.001 | Giao thức lớp ứng dụng: Giao thức web | Windows bị Trojan Telegram sử dụng HTTPS để giao tiếp với máy chủ C&C của nó. |
T1095 | Giao thức lớp không ứng dụng | Windows Telegram bị Trojan hóa sử dụng giao thức TCP được mã hóa để giao tiếp với C&C. | |
T1105 | Chuyển công cụ xâm nhập | Windows bị tấn công Telegram có thể tải xuống các tệp bổ sung. | |
T1573 | Kênh được mã hóa | Windows Telegram bị Trojan mã hóa các giao tiếp TCP. | |
Lọc | T1041 | Lọc qua kênh C2 | Windows bị Trojan Telegram gửi dữ liệu nạn nhân đến máy chủ C&C của nó. |
Va chạm | T1529 | Tắt/Khởi động lại hệ thống | Windows Telegram bị Trojan hóa có thể khởi động lại hoặc tắt máy của nạn nhân. |
T1565.002 | Thao tác dữ liệu: Thao tác dữ liệu được truyền | Windows Telegram bị Trojan hóa hoán đổi ví tiền điện tử trong giao tiếp Telegram. | |
T1531 | Xóa quyền truy cập tài khoản | Windows Telegram bị Trojan hóa xóa hồ sơ của các trình duyệt thường được sử dụng để buộc nạn nhân đăng nhập vào tài khoản web của họ. |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 10
- 1040
- 11
- 12
- 13
- 14
- 15%
- 16
- 17
- 2000
- 2022
- 220
- 23
- 36
- 7
- 8
- 9
- a
- Có khả năng
- Giới thiệu
- lạm dụng
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- Hoạt động
- hành động
- hoạt động
- diễn viên
- thêm vào
- Ngoài ra
- thêm vào
- Ngoài ra
- địa chỉ
- địa chỉ
- quảng cáo
- tiên tiến
- Công nghệ Tiên tiến
- Lợi thế
- quảng cáo
- tư vấn cho
- Sau
- một lần nữa
- Đại lý
- Hỗ trợ
- máy bay
- Tất cả
- cho phép
- Cho phép
- dọc theo
- Ngoài ra
- luôn luôn
- trong số
- an
- phân tích
- phân tích
- phân tích
- và
- Android
- Một
- bất kì
- api
- ứng dụng
- xuất hiện
- Các Ứng Dụng
- các ứng dụng
- áp dụng
- Đăng Nhập
- phương pháp tiếp cận
- ứng dụng
- APT
- kiến trúc
- LÀ
- Đến
- AS
- liên kết
- At
- Các cuộc tấn công
- hấp dẫn
- tác giả
- tự động
- sẵn có
- có sẵn
- nhận thức
- lý lịch
- sao lưu
- dựa
- cơ bản
- Về cơ bản
- BE
- bởi vì
- trở nên
- được
- trước
- Bắt đầu
- sau
- được
- Tin
- thuộc
- ngoài ra
- Hơn
- giữa
- nhị phân
- Bitcoin
- bị chặn
- cả hai
- thương hiệu
- một thời gian ngắn
- trình duyệt
- xây dựng
- xây dựng
- kèm
- nhưng
- by
- gọi là
- CAN
- không thể
- có khả năng
- nắm bắt
- chụp
- Chụp
- xe hơi
- trường hợp
- trường hợp
- Trung tâm
- nhất định
- chắc chắn
- chuỗi
- thay đổi
- thay đổi
- Kênh
- kênh
- tính cách
- nhận dạng nhân vật
- nhân vật
- kiểm tra
- Séc
- Trung Quốc
- Trung Quốc
- Chọn
- vô giá trị
- vòng tròn
- tuyên bố
- trong sáng
- khách hàng
- Có bản lảnh
- cụm
- mã
- Cơ sở mã hóa
- Coin
- kết hợp
- Đến
- Chung
- thông thường
- giao tiếp
- Giao tiếp
- Truyền thông
- so
- so sánh
- hoàn toàn
- phức tạp
- sáng tác
- Bao gồm
- Thỏa hiệp
- Cấu hình
- Kết nối
- xem xét
- tạo
- Liên hệ
- chứa
- chứa
- nội dung
- nội dung
- Ngược lại
- điều khiển
- Tương ứng
- có thể
- Giả mạo
- Khóa học
- tạo
- Credentials
- cryptocurrencies
- cryptocurrency
- Ví tiền điện tử
- ví tiền điện tử
- Ăn cắp tiền điện tử
- Hiện nay
- khách hàng
- tùy chỉnh
- tội phạm mạng
- dữ liệu
- sâu nhất
- Mặc định
- Phòng thủ
- chứng minh
- phụ thuộc
- triển khai
- mô tả
- mô tả
- Mô tả
- máy tính để bàn
- phát hiện
- phát triển
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- khác nhau
- sự khác biệt
- khác nhau
- kỹ thuật số
- trực tiếp
- khám phá
- phát hiện
- hiển thị
- phân phối
- phân phối
- do
- làm
- lĩnh vực
- tăng gấp đôi
- tải về
- hàng chục
- hai
- suốt trong
- năng động
- mỗi
- dễ dàng
- hay
- 11
- nhúng
- sử dụng
- cho phép
- mã hóa
- cuối
- Doanh nghiệp
- thành lập
- thành lập
- ethereum
- Ngay cả
- Sự kiện
- ví dụ
- ngoại lệ
- Trao đổi
- thi hành
- Thực thi
- thực hiện
- hiện tại
- mở rộng
- giải thích
- mở rộng
- mở rộng
- trích xuất
- Chất chiết xuất
- giả mạo
- xa
- vài
- Hình
- Số liệu
- Tập tin
- Các tập tin
- Tìm kiếm
- phát hiện
- tìm thấy
- Tên
- lần đầu tiên
- được gắn cờ
- cờ
- dòng chảy
- Tập trung
- tập trung
- tập trung
- tập trung
- Trong
- Buộc
- hình thức
- tìm thấy
- 4
- lừa đảo
- Miễn phí
- thường xuyên
- từ
- Full
- chức năng
- chức năng
- chức năng
- quỹ
- xa hơn
- Hơn nữa
- đạt được
- Tổng Quát
- chính hãng
- được
- nhận được
- Liếc nhìn
- Go
- đi
- Google play
- Cửa hàng Google Play
- Nhóm
- Các nhóm
- có
- tay
- Tay bài
- phần cứng
- Có
- giúp
- Ẩn giấu
- cao hơn
- Nhấn mạnh
- tổ chức
- Tuy nhiên
- HTML
- http
- HTTPS
- Hàng trăm
- ID
- giống hệt nhau
- xác định
- xác định
- xác định
- if
- hình ảnh
- hình ảnh
- thực hiện
- thực hiện
- cải thiện
- in
- sâu
- chỉ dẫn
- gián tiếp
- thông tin
- ngây thơ
- Yêu cầu
- trong
- lấy cảm hứng từ
- cài đặt
- cài đặt
- ví dụ
- ngay lập tức
- thay vì
- Sự thông minh
- quan tâm
- thú vị
- nội bộ
- trong
- intriguing
- intrusively
- iOS
- Ban hành
- IT
- người Ý
- ITS
- chính nó
- chỉ
- Giữ
- giữ
- giữ
- Key
- phím
- từ khóa
- nổi tiếng
- Ngôn ngữ
- Họ
- mới nhất
- lớp
- dẫn
- hàng đầu
- học tập
- ít nhất
- Led
- trái
- hợp pháp
- ít
- Thư viện
- Lượt thích
- LINK
- liên kết
- linux
- Danh sách
- tải
- đăng nhập
- khai thác gỗ
- đăng nhập
- dài
- còn
- NHÌN
- xông hơi hồng ngoại
- máy
- học máy
- Máy móc
- hệ điều hành Mac
- Chủ yếu
- phần lớn
- LÀM CHO
- phần mềm độc hại
- Thao tác
- thủ công
- có nghĩa là
- có nghĩa
- Các thành viên
- Bộ nhớ
- tin nhắn
- tin nhắn
- tin nhắn
- sứ giả
- phương pháp
- microsoft
- Might
- thuật nhớ
- di động
- sửa đổi
- sửa đổi
- Modules
- Monero
- màn hình
- chi tiết
- Hơn thế nữa
- hầu hết
- chủ yếu
- tên
- cần thiết
- Cần
- Cũng không
- Mới
- Không
- Không áp dụng
- thông báo
- khét tiếng
- tại
- con số
- số
- được
- có được
- thu được
- OCR
- of
- cung cấp
- cung cấp
- Cung cấp
- chính thức
- Chính thức
- on
- hàng loạt
- ONE
- Trực tuyến
- có thể
- mã nguồn mở
- hoạt động
- hoạt động
- các hệ điều hành
- Hoạt động
- khai thác
- Cơ hội
- phản đối
- nhận dạng ký tự quang học
- or
- gọi món
- nguyên
- OS
- Nền tảng khác
- Khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- bên ngoài
- kết thúc
- riêng
- ví riêng
- trang
- thanh toán
- một phần
- riêng
- Mật khẩu
- Mật khẩu
- Họa tiết
- mô hình
- người
- Thực hiện
- biểu diễn
- kiên trì
- người
- riêng
- điện thoại
- Hình ảnh
- cụm từ
- Những bức ảnh
- mảnh
- Nơi
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- Cửa hàng play
- Plugin
- điểm
- di động
- có thể
- Bài đăng
- có khả năng
- trình bày
- trước
- riêng
- Khóa riêng
- đặc quyền
- có lẽ
- Vấn đề
- quá trình
- Quy trình
- Bộ xử lý
- Profiles
- chương trình
- Khóa Học
- giao thức
- cho
- cung cấp
- Proxy
- công khai
- công khai
- đã mua
- mục đích
- đặt
- phạm vi
- CON CHUỘT
- Đọc
- Reading
- nhận
- nhận
- công nhận
- công nhận
- công nhận
- nhận ra
- phục hồi
- phục hồi
- đỏ
- chuyển hướng
- đăng ký
- liên quan
- tương đối
- có liên quan
- đáng tin cậy
- nguồn đáng tin cậy
- xa
- truy cập từ xa
- loại bỏ
- tẩy
- thay thế
- thay thế
- Báo cáo
- Báo cáo
- yêu cầu
- cần phải
- nghiên cứu
- nhà nghiên cứu
- Resort
- chịu trách nhiệm
- REST của
- khởi động lại
- Kết quả
- tiết lộ
- ngay
- chạy
- chạy
- chạy
- s
- tương tự
- thấy
- lừa đảo
- quét
- Màn
- ảnh chụp màn hình
- Tìm kiếm
- tìm kiếm
- Thứ hai
- Phần
- an ninh
- xem
- hạt giống
- cụm từ hạt giống
- nhìn thấy
- hình như
- dường như
- đã xem
- nhìn
- người gửi
- gửi
- ý nghĩa
- nhạy cảm
- gởi
- Loạt Sách
- dịch vụ
- DỊCH VỤ
- phục vụ
- định
- một số
- chia sẻ
- Shell
- thể hiện
- tắt máy
- đáng kể
- tương tự
- đơn giản
- kể từ khi
- duy nhất
- Các trang web
- tình hình
- hơi khác nhau
- nhỏ hơn
- So
- Phần mềm
- giải pháp
- một số
- một cái gì đó
- nguồn
- mã nguồn
- nguồn
- đặc biệt
- riêng
- đặc biệt
- chia
- Tiêu chuẩn
- Bắt đầu
- khởi động
- ăn trộm
- Vẫn còn
- ăn cắp
- là gắn
- hàng
- lưu trữ
- đơn giản
- Chuỗi
- thành công
- như vậy
- chắc chắn
- trao đổi
- trao đổi
- Hoán đổi
- Công tắc điện
- hệ thống
- hệ thống
- bàn
- Hãy
- mất
- dùng
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- kỹ thuật
- Công nghệ
- Telegram
- nói
- hơn
- việc này
- Sản phẩm
- Nguồn
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- triệt để
- những
- Tuy nhiên?
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- Như vậy
- thời gian
- tip
- đến
- mã thông báo
- công cụ
- hàng đầu
- Dịch
- TRON
- đáng tin cậy
- thử
- hai
- kiểu
- loại
- không thể
- để hở
- thật không may
- không may
- không giống
- cho đến khi
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- sử dụng
- thường
- giá trị
- biến thể
- nhiều
- khác nhau
- Xác minh
- phiên bản
- phiên bản
- rất
- thông qua
- nạn nhân
- nạn nhân
- Người xem
- ảo
- máy ảo
- có thể nhìn thấy
- Truy cập
- ví
- Ví
- muốn
- là
- Đường..
- we
- web
- Website
- trang web
- TỐT
- là
- Điều gì
- Là gì
- khi nào
- liệu
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- toàn bộ
- có
- tại sao
- rộng
- Phạm vi rộng
- rộng hơn
- sẽ
- cửa sổ
- cửa sổ
- với
- ở trong
- không có
- từ
- công trinh
- sẽ
- năm
- Bạn
- trên màn hình
- youtube
- zephyrnet
- Zip