ESET 研究人员发现了数十个模仿 Telegram 和 WhatsApp 的网站,主要针对 Android 和 Windows 用户,这些网站带有这些即时消息应用程序的木马化版本。 我们发现的大多数恶意应用程序都是剪辑程序——一种窃取或修改剪贴板内容的恶意软件。 所有这些都是针对受害者的加密货币资金,其中有几个针对加密货币钱包。 这是我们第一次看到专门针对即时消息传递的 Android 剪刀。 此外,其中一些应用程序使用光学字符识别 (OCR) 来识别存储在受感染设备上的屏幕截图中的文本,这在 Android 恶意软件中又是首创。
这篇博文的要点:
- ESET Research 发现了第一个内置于即时消息应用程序中的剪报器实例。
- 威胁行为者使用木马化的 Telegram 和适用于 Android 和 Windows 的 WhatsApp 应用程序追踪受害者的加密货币资金。
- 该恶意软件可以将受害者在聊天消息中发送的加密货币钱包地址切换为属于攻击者的地址。
- 一些剪报者滥用光学字符识别从屏幕截图中提取文本并窃取加密货币钱包助记词。
- 除了 Clipper,我们还发现了远程访问木马 (RAT) 与恶意 Windows 版本的 WhatsApp 和 Telegram 捆绑在一起。
在成立之前 应用防御联盟,我们发现 Google Play 上的第一个 Android 剪辑器,这导致谷歌通过以下方式提高了 Android 的安全性 限制 适用于 Android 10 及更高版本在后台运行的应用程序的系统范围剪贴板操作。 不幸的是,正如我们最新的发现所表明的那样,这一行动并没有成功地彻底解决问题:我们不仅确定了第一批即时消息剪报,而且还发现了其中的几个集群。 我们发现的 clippers 的主要目的是拦截受害者的消息通信,并将任何发送和接收的加密货币钱包地址替换为属于攻击者的地址。 除了木马化的 WhatsApp 和 Telegram Android 应用程序,我们还发现了相同应用程序的木马化 Windows 版本。
当然,这些并不是唯一追求加密货币的山寨应用程序——就在 2022 年初,我们 确定 威胁行为者专注于重新打包合法的加密货币应用程序,这些应用程序试图从受害者的钱包中窃取助记词。
木马化应用程序概述
由于 Telegram 和 WhatsApp 的架构不同,威胁者不得不选择不同的方法来创建两者的木马化版本。 由于 Telegram 是一个开源应用程序,因此在保持应用程序的消息传递功能不变的同时更改其代码相对简单。 另一方面,WhatsApp 的源代码并不公开,这意味着在用恶意代码重新打包应用程序之前,威胁行为者必须首先对应用程序的功能进行深入分析,以确定要修改的具体位置。
尽管服务于相同的通用目的,但这些应用程序的木马化版本包含各种附加功能。 为了更好地分析和解释,我们根据这些功能将应用程序分成几个集群; 在这篇博文中,我们将描述四个 Android 剪辑器集群和两个恶意 Windows 应用程序集群。 我们不会深入探讨应用程序背后的威胁行为者,因为其中有几个。
不过,在简要描述这些应用程序集群之前,先了解一下什么是剪刀以及为什么网络窃贼会使用剪刀? 粗略地说,在恶意软件圈子里,剪辑器是一段恶意代码,它复制或修改系统剪贴板中的内容。 因此,Clippers 对有意窃取加密货币的网络罪犯很有吸引力,因为在线加密货币钱包的地址由一长串字符组成,用户倾向于使用剪贴板复制和粘贴地址,而不是键入它们。 Clipper 可以通过拦截剪贴板的内容并暗中用窃贼可以访问的地址替换那里的任何加密货币钱包地址来利用这一点。
Android clipper 集群 1 也是第一个使用 OCR 从存储在受害者设备上的屏幕截图和照片中读取文本的 Android 恶意软件实例。 部署 OCR 是为了查找和窃取助记词,助记词由一系列用于恢复加密货币钱包的单词组成。 一旦恶意行为者掌握了助记词,他们就可以直接从相关钱包中窃取所有加密货币。
与Cluster 1使用先进技术相比,Cluster 2非常简单。 该恶意软件只是在聊天通信中将受害者的加密货币钱包地址切换为攻击者的地址,这些地址要么是硬编码的,要么是从攻击者的服务器动态检索的。 除了 Telegram 之外,这是我们唯一发现木马化 WhatsApp 样本的 Android 集群。
集群 3 监控与加密货币相关的某些关键字的 Telegram 通信。 一旦识别出这样的关键字,恶意软件就会将完整的消息发送到攻击者的服务器。
最后,Cluster 4 中的 Android 剪刀不仅会切换受害者的钱包地址,还会泄露内部 Telegram 数据和基本设备信息。
关于 Windows 恶意软件,有一个 Telegram 加密货币剪报器集群,其成员只是拦截和修改 Telegram 消息以切换加密货币钱包地址,就像第二个 Android 剪报器集群一样。 不同之处在于 Windows 版 Telegram 的源代码,需要恶意行为者进行额外分析,才能实现输入自己的钱包地址。
与既定模式不同的是,第二个 Windows 集群不是由剪辑程序组成,而是由能够完全控制受害者系统的远程访问木马 (RAT) 组成。 这样,RAT 就能够在不拦截应用程序流的情况下窃取加密货币钱包。
配电系统
从山寨应用使用的语言来看,其背后的运营商似乎主要针对中文用户。
因为 Telegram 和 WhatsApp 在中国都被屏蔽了好几年了,Telegram 从那以后就被屏蔽了 2015 和 WhatsApp 自 2017,希望使用这些服务的人必须通过间接方式获得这些服务。 不出所料,这为网络犯罪分子提供了利用这种情况的成熟机会。
在这篇博文中描述的攻击案例中,威胁行为者首先设置了谷歌广告,导致欺诈性 YouTube 频道,然后将不幸的观众重定向到山寨 Telegram 和 WhatsApp 网站,如图 1 所示。最重要的是,一个特定 Telegram 组还发布了该应用程序的恶意版本,声称在中国境外提供免费代理服务(见图 2)。 当我们发现这些欺诈性广告和相关的 YouTube 频道时,我们将它们报告给了谷歌,谷歌立即将它们全部关闭。
乍一看,这些山寨应用程序的分发方式似乎很复杂。 不过,可能是因为 Telegram、WhatsApp 和 Google Play 应用在中国都被屏蔽了,Android 用户如果想获得官方不可用的应用,他们已经习惯了绕几圈。 网络罪犯意识到了这一点,并试图从一开始就诱捕他们的受害者——当受害者在谷歌上搜索要下载的 WhatsApp 或 Telegram 应用程序时。 威胁行为者购买了重定向到 YouTube 的 Google Ads(参见图 3),这既有助于攻击者获得搜索结果的顶部,又能避免将他们的虚假网站标记为诈骗,因为广告链接到合法服务Google Ads 大概认为非常值得信赖。
山寨网站的链接通常可以在 YouTube 频道的“关于”部分找到。 可以在图 4 中的非常粗略的翻译中看到此类描述的示例。
在我们的研究过程中,我们发现数百个 YouTube 频道指向数十个假冒 Telegram 和 WhatsApp 网站——一些可以在图 5 中看到。这些网站冒充合法服务(见图 6)并提供应用程序的桌面和移动版本供下载. Google Play 商店中没有任何分析的应用程序可用。
图 6. 模仿 Telegram 和 WhatsApp 的网站
分析
我们发现各种类型的恶意代码被重新打包到合法的 Telegram 和 WhatsApp 应用程序中。 虽然所分析的应用程序或多或少地同时使用非常相似的模式如雨后春笋般涌现,但它们似乎并非都是由同一个威胁参与者开发的。 除了大多数恶意应用程序能够替换 Telegram 和 WhatsApp 通信中的加密货币地址外,没有迹象表明它们之间存在进一步的联系。
虽然虚假网站为所有可用 Telegram 和 WhatsApp 的操作系统提供下载链接,但所有 Linux 和 macOS 链接以及大多数 iOS 链接都会重定向到这些服务的官方网站。 对于确实会导致欺诈网站的少数 iOS 链接,在我们进行分析时,这些应用程序不再可供下载。 因此,Windows 和 Android 用户构成了攻击的主要目标。
安卓木马
木马化的 Android 应用程序的主要目的是拦截受害者的聊天消息,并将任何加密货币钱包地址交换为属于攻击者的钱包地址,或者泄露敏感信息,使攻击者能够窃取受害者的加密货币资金。 这是我们第一次看到专门针对即时消息的快报。
为了能够修改消息,威胁行为者必须彻底分析这两种服务应用程序的原始代码。 由于 Telegram 是一个开源应用程序,网络犯罪分子只需将自己的恶意代码插入现有版本并进行编译即可; 然而,对于 WhatsApp,必须直接修改二进制文件并重新打包以添加恶意功能。
我们观察到,在替换钱包地址时,Telegram 的木马化应用程序与 WhatsApp 的行为不同。 使用恶意 Telegram 应用程序的受害者将一直看到原始地址,直到应用程序重新启动,此时显示的地址将是属于攻击者的地址。 相反,如果使用木马化的 WhatsApp,受害者自己的地址将在发送的消息中看到,而消息收件人将收到攻击者地址。 如图 7 所示。
集群1
集群 1 是最有趣的,因为它的成员构成了任何 Android 恶意软件中第一个已知的 OCR 滥用实例。 在这种情况下,木马化的 Telegram 应用程序使用一个名为 Android 上的机器学习套件 在受害者的设备上搜索图像 。JPG 和 。PNG 扩展,Android 上最常见的屏幕截图格式。 该恶意软件会寻找受害者可能保留在设备上作为备份的加密货币钱包恢复短语(也称为助记符)的屏幕截图。
循环访问设备上的文件并通过 OCR 运行它们的恶意功能 识别文本 功能见图8。
如图 9 所示,如果 识别文本 找到字符串 助记符 or 助记词 (助记词)在从图像中提取的文本中,它将文本和图像都发送到C&C服务器。 在某些情况下,我们看到关键字列表扩展到 XNUMX 个条目,特别是助记词, 助记符, 背诵, 背诵, 恢复短语, 恢复短语, 电子钱包把钱转出, 元面具, 短语, 秘密, 恢复短语.
集群2
与采用高级方法协助其恶意活动的集群 1 相比,第二个 Android 剪刀集群是四个集群中最简单的:这些恶意应用程序只是简单地交换钱包地址,没有进一步的恶意功能。 Cluster 2 中的木马主要替换比特币、以太坊和 TRON 硬币钱包的地址,其中一些还能够为 Monero 和 Binance 切换钱包。 消息被拦截和修改的方式可以在图 10 和 11 中看到。
集群 2 是唯一一个我们不仅发现 Telegram,还发现 WhatsApp 样本的 Android 集群。 两种类型的木马化应用程序要么具有攻击者钱包地址的硬编码列表(如图 11 所示),要么从 C&C 服务器动态请求它们,如图 12 所示。
集群3
该集群监控 Telegram 通信中特定的中文关键字,例如“助记符”、“银行”、“地址”、“帐户”和“元”。 一些关键字是硬编码的,而其他关键字是从 C&C 服务器接收的,这意味着它们可以随时更改或扩展。 一旦 Cluster 3 剪辑器识别出一个关键字,整个消息连同用户名、组或频道名称就会被发送到 C&C 服务器,如图 13 所示。
集群4
最后发现的 Android 剪刀集群 Cluster 4 不仅可以替换加密货币地址,还可以通过获取受害者的配置文件、电话号码、设备信息、图片、Telegram 用户名和已安装应用程序列表来泄露受害者的 Telegram 数据。 登录 Telegram 应用程序的这些恶意版本意味着存储在其中的所有个人内部数据,例如消息、联系人和配置文件,对威胁行为者都是可见的。
为了演示,让我们关注这个集群中最具侵入性的木马化应用程序:这个恶意软件梳理内部 Telegram 存储,用于所有小于 5.2 MB 且没有。JPG 扩展并窃取它们。 此外,它还可以泄露有关设备的基本信息、已安装的应用程序列表和电话号码。 所有被盗文件都存档在 资料.zip 文件,然后将其泄露给 C&C。 该集群中的所有恶意软件都使用相同的 ZIP 文件名,表明有共同的作者或代码库。 从我们的分析设备中泄露的文件列表如图 14 所示。
Windows木马
与我们发现的木马化 Android 应用程序相反,Windows 版本不仅包含剪辑程序,还包含远程访问木马程序。 虽然 Clipper 主要专注于窃取密码,但 RAT 能够执行更广泛的恶意操作,例如截屏和删除文件。 他们中的一些人还可以操纵剪贴板,这将使他们能够窃取加密货币钱包。 Windows 应用程序被发现在与 Android 版本相同的域中。
加密货币剪刀
我们发现了两个 Windows 加密货币剪辑器样本。 就像 Android 剪辑器的 Cluster 2 一样,它们会拦截和修改通过木马化 Telegram 客户端发送的消息。 它们使用与 Android 集群相同的钱包地址,这意味着它们很可能来自同一个威胁参与者。
两个 clipper 示例中的第一个作为可移植的可执行文件分发,所有必要的依赖项和信息直接嵌入其二进制文件中。 这样,恶意程序执行后就不会进行任何安装,从而使受害者不会意识到有什么不对劲。 该恶意软件不仅拦截用户之间的消息,还拦截所有已保存的消息、频道和群组。
与相关的 Android Cluster 2 类似,负责修改消息的代码使用硬编码模式来识别消息中的加密货币地址。 这些地址在图 15 中以黄色突出显示。如果找到,代码会将原始地址替换为属于攻击者的相应地址(以红色突出显示)。 该剪报专注于比特币、以太坊和 TRON。
第二个剪辑器使用标准安装过程,与合法的 Telegram 安装程序相同。 然而,即使进程表面上看起来是无辜的,安装的可执行文件也远非良性。 与合法 Telegram 相比,它包含两个额外的文件,使用带有密钥的单字节 XOR 密码加密 0xff. 这些文件包含一个 C&C 服务器地址和一个用于与 C&C 通信的代理 ID。
这一次,没有使用硬编码地址。 相反,剪辑器通过 HTTP POST 请求从 C&C 获取消息模式和相应的加密货币钱包地址。 与 C&C 通信的工作方式与 Android 裁剪器的集群 2 中所示的方式相同(图 12)。
除了交换加密货币钱包地址外,此剪刀还可以窃取受害者的电话号码和 Telegram 凭据。 当受此木马化应用程序影响的人尝试登录新设备时,他们会被要求输入发送到其 Telegram 帐户的登录代码。 一旦代码到达,通知就会被恶意软件自动拦截,验证码和可选密码最终落入威胁参与者的手中。
与第一个 Windows Clipper 样本类似,使用此恶意版本的 Telegram 发送的任何包含比特币、以太坊或 TRON 加密货币钱包地址的消息都将被修改,以替换攻击者提供的地址(参见图 16)。 然而,与 Android 版本不同的是,如果不对比聊天记录,受害者将无法发现自己的消息被篡改:即使在重新启动应用程序后,发件人也始终会看到消息的原始版本,因为相关部分已被删除。代码在应用程序启动时再次执行; 另一方面,收件人只会收到攻击者的钱包。
图 16. 合法的 Telegram 客户端(左)和木马化客户端(右)
远程访问木马
我们发现的其余恶意应用程序以与远程访问木马捆绑在一起的 Telegram 和 WhatsApp 安装程序的形式分发。 一旦 RAT 获得了对系统的访问权限,Telegram 和 WhatsApp 都不需要运行 RAT 才能运行。 在观察到的样本中,恶意代码大多是通过使用 DLL 侧载,从而允许攻击者将他们的行为隐藏在执行合法应用程序的背后。 这些 RAT 与快船有很大不同,因为它们没有明确专注于窃取加密货币钱包。 相反,它们包含几个具有广泛功能的模块,允许威胁参与者执行诸如窃取剪贴板数据、记录击键、查询 Windows 注册表、捕获屏幕、获取系统信息和执行文件操作等操作。 我们发现的每只 RAT 使用的模块组合略有不同。
除了一个例外,我们分析的所有远程访问木马都是基于臭名昭著的 Gh0st RAT, 由于其公开可用性而经常被网络犯罪分子使用的恶意软件。 有趣的是,Gh0st RAT 的代码使用默认设置为 Gh0st 的特殊数据包标志,威胁参与者喜欢自定义该值。 在更改标志时,他们可以使用对他们的恶意软件版本更有意义的东西,或者他们可以根本不使用任何标志。 正如我们在分析过程中发现的一个案例,他们还可以通过将旗帜更改为 兰博 (例如,意大利豪华汽车品牌的昵称;见图 17)。
该组中唯一不完全基于 Gh0st RAT 的 RAT 使用了来自 HP插座 库与其 C&C 服务器通信。 与其他 RAT 相比,这个 RAT 在其执行链中使用了明显更多的反分析运行时检查。 虽然它的源代码肯定与发现的其他木马不同,但它的功能基本相同:它能够执行文件操作、获取系统信息和正在运行的程序列表、删除常用浏览器的配置文件、下载和运行潜在的恶意文件等。 我们怀疑这是一个自定义构建,可能受到 Gh0st 实现的启发。
预防和卸载
Android
仅从可信赖且可靠的来源(例如 Google Play 商店)安装应用程序。
如果您通过 Android Telegram 应用程序共享加密货币钱包地址,请仔细检查您发送的地址是否与重启应用程序后显示的地址相匹配。 如果不是,警告收件人不要使用该地址并尝试删除邮件。 不幸的是,这种技术不能应用于木马化的 WhatsApp for Android。
请注意,之前的技巧不适用于木马化的 Telegram; 由于钱包地址的接收者只能看到攻击者的钱包,他们将无法判断地址是否真实。
请勿在您的设备上存储含有助记词、密码、私钥等敏感信息的未加密图片或截图。
如果您认为您有 Telegram 或 WhatsApp 的木马版本,请手动将其从您的设备中删除,然后从 Google Play 或直接从合法网站下载该应用程序。
Windows
如果您不确定您的 Telegram 安装程序是否合法,请检查文件的数字签名是否有效并颁发给 Telegram FZ-LLC。
如果您怀疑您的 Telegram 应用程序是恶意的,我们建议您使用安全解决方案来检测威胁并为您将其删除。 即使您没有此类软件,您仍然可以免费使用 ESET在线扫描仪.
Windows 版 WhatsApp 的唯一官方版本目前在 Microsoft 商店中提供。 如果您从任何其他来源安装了该应用程序,我们建议您将其删除,然后扫描您的设备。
结论
在我们对通过山寨网站分发的木马化 Telegram 和 WhatsApp 应用程序进行研究期间,我们发现了第一个拦截即时消息并将受害者的加密货币钱包地址换成攻击者地址的 Android 剪刀实例。 此外,一些剪刀滥用OCR从受害者设备上保存的图像中提取助记词,这是我们第一次看到的屏幕阅读技术的恶意使用。
我们还发现了 Windows 版本的钱包切换剪刀,以及与远程访问木马捆绑在一起的 Windows 版 Telegram 和 WhatsApp 安装程序。 通过它们的各种模块,RAT 使攻击者能够控制受害者的机器。
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
SHA-1 | 软件包名称 | 检测 | 课程描述 |
---|---|---|---|
C3ED82A01C91303C0BEC36016D817E21615EAA07 | org.telegram.messenger | 安卓/Clipper.I | Cluster 4 中的 Telegram for Android 木马化版本。 |
8336BF07683F40B38840865C60DB1D08F1D1789D | org.telegram.messenger | 安卓/Clipper.I | Cluster 4 中的 Telegram for Android 木马化版本。 |
E67065423DA58C0025E411E8E56E0FD6BE049474 | org.tgplus.messenger | Android/Clipper.J | Cluster 1 中的 Telegram for Android 木马化版本。 |
014F1E43700AB91C8C5983309751D952101B8ACA | org.telegram.messenger | Android/Clipper.K | Cluster 2 和 Cluster 3 中的 Telegram for Android 木马化版本。 |
259FE1A121BA173B2795901C426922E32623EFDA | org.telegram.messenger.web2 | 安卓/Clipper.L | Cluster 2 中的 Telegram for Android 木马化版本。 |
0A79B29FC0B04D3C678E9B95BFF72A9558A632AC | org.telegram.messenger | 安卓/Clipper.M | Cluster 1 中的 Telegram for Android 木马化版本。 |
D44973C623E680EE0A4E696C99D1AB8430D2A407 | org.telegram.messenger | 安卓/快船.N | Cluster 1 中的 Telegram for Android 木马化版本。 |
88F34441290175E3AE2FE0491BFC206899DD158B | org.telegram.messenger | 安卓/Clipper.O | Cluster 4 中的 Telegram for Android 木马化版本。 |
0936D24FC10DB2518973C17493B6523CCF8FCE94 | io.busniess.va.WhatsApp | 安卓/Clipper.V | 集群 1 中的 WhatsApp for Android 木马化版本。 |
8E98438103C855C3E7723140767749DEAF8CA263 | com.whatsapp | 安卓/Clipper.V | 集群 1 中的 WhatsApp for Android 木马化版本。 |
5243AD8BBFBC4327B8C4A6FD64401912F46886FF | com.whatsapp | 安卓/Clipper.V | 集群 1 中的 WhatsApp for Android 木马化版本。 |
SHA-1 | 文件名 | 检测 | 课程描述 |
---|---|---|---|
646A70E4F7F4502643CDB9AA241ACC89C6D6F1C0 | 电报 | Win32/代理.AEWM | 第一个集群中的 Windows Telegram 木马化版本。 |
858A5B578A0D8A0D511E502DE16EC2547E23B375 | 电报 | Win64/PSW.Agent.CS | 第一个集群中的 Windows Telegram 木马化版本。 |
88AAC1C8AB43CD540E0677BAA1A023FDA88B70C4 | 电报 | Win64/PSW.Agent.CT | 第一个集群中的 Windows Telegram 木马化版本。 |
F3D2CCB4E7049010B18A3300ABDEB06CF3B75FFA | 电报 | Win64/PSW.Agent.CT | 第一个集群中的 Windows Telegram 木马化版本。 |
A5EB91733FD5CDC8386481EA9856C20C71254713 | 1.exe | Win32/TrojanDownloader.Agent变种GLD | 来自第二个 Windows 集群中木马化 Telegram 的恶意下载程序。 |
34FA6E6B09E08E84D3C544F9039CB14624080A19 | 库文件 | Win32/Kryptik.HMVR | 来自第二个 Windows 集群中木马化 Telegram 的恶意 DLL。 |
5E4021AE96D4B28DD27382E3520E8333288D7095 | 1.txt | Win32/Farfli.BUR | 第二个 Windows 集群中的 Gh0st RAT 变体。 |
14728633636912FB91AE00342D7C6D7050414D85 | 基本网络实用程序.dll | Win32/代理.AEMT | 来自第二个 Windows 集群中木马化 Telegram 的恶意 DLL。 |
B09E560001621AD79BE31A8822CA72F3BAC46F64 | 基本网络实用程序.dll | Win32/代理.AEMT | 来自第二个 Windows 集群中木马化 Telegram 的恶意 DLL。 |
70B8B5A0BFBDBBFA6BA6C86258C593AD21A89829 | 模板X.TXT | Win32/Farfli.CUO | 第二个 Windows 集群中的 Gh0st RAT 变体。 |
A51A0BCCE028966C4FCBB1581303980CF10669E0 | 模板X.TXT | Win32/Farfli.CUO | 第二个 Windows 集群中的 Gh0st RAT 变体。 |
A2883F344831494C605598B4D8C69B23A896B71A | 收集器 | Win64/GenKryptik.FZHX | 来自第二个集群中木马化 Windows Telegram 的恶意下载程序。 |
F8005F22F6E8EE31953A80936032D9E0C413FD22 | ZM日志 | Win32/Farfli.DBP | RAT 使用 HP-Socket 库与第二个 Windows 集群中的 C&C 通信。 |
D2D2B0EE45F0540B906DE25B1269D257578A25BD | DuiLib.dll | Win32/代理.AEXA | 第二个集群中的木马化 Windows Telegram 中的恶意 DLL。 |
564F7A88CD5E1FF8C318796127A3DA30BDDE2AD6 | 电报.msi | Win32/TrojanDownloader.Agent变种GLD | 第二个集群中的 Windows Telegram 安装程序的木马化版本。 |
C5ED56584F224E7924711EF47B39505D4D1C98D2 | TG_ZH.exe | Win32/Farfli.CUO | 第二个集群中的 Windows Telegram 安装程序的木马化版本。 |
2DCDAAAEF094D60BC0910F816CBD42F3C76EBEE9 | TG_CN.exe | Win32/Farfli.CUO | 第二个集群中的 Windows Telegram 安装程序的木马化版本。 |
31878B6FC6F96703AC27EBC8E786E01F5AEA5819 | 电报.exe | Win64/PSW.Agent.CS | 第一个集群中的 Windows Telegram 安装程序的木马化版本。 |
58F7E6E972774290DF613553FA2120871436B9AA | 飞机中文版X64.zip(机器翻译:飞机中文版) | Win64/GenKryptik.FZHX木马 | 第二个集群中包含木马化版本的 Windows Telegram 安装程序的存档。 |
CE9CBB3641036E7053C494E2021006563D13E1A6 | 电报.7z | Win32/Agent.AEWM木马 | 在第二个集群中包含可移植版本的木马化 Windows Telegram 可执行文件。 |
7916BF7FF4FA9901A0C6030CC28933A143C2285F | 应用程序 | 特工AEUO | 第一个 Windows 集群中的 Windows WhatsApp 安装程序的木马化版本。 |
B26EC31C9E8D2CC84DF8B771F336F64A12DBD484 | webview_support.dll | 特工AEUO | 来自第二个 Windows 集群中木马化 WhatsApp 的恶意 DLL。 |
366D12F749B829B436474C9040E8102CEC2AACB4 | 升级.xml | Win32/Farfli.DCC | 第二个 Windows 集群中的加密恶意负载。 |
A565875EDF33016D8A231682CC4C19FCC43A9A0E | CSLoader.dll | Win32/Farfli.DCC | 第二个 Windows 集群中的 Shellcode 注入器。 |
CFD900B77494574A01EA8270194F00E573E80F94 | 1.dll | Win32/Farfli.BLH | 第二个 Windows 集群中的 Gh0st RAT 变体。 |
18DE3283402FE09D2FF6771D85B9DB6FE2B9D05E | 电报.exe | Win64/PSW.Agent.CT | 第一个集群中的 Windows Telegram 安装程序的木马化版本。 |
商业网络
域名/IP | 初见 | 更多信息 |
---|---|---|
tevegram[.]com | 2022-07-25 | 分销网站。 |
电报[.]土地 | 2021-09-01 | 分销网站。 |
x-电报[.]app | 2022-04-24 | 分销网站。 |
好电报[.]com | 2022-03-12 | 分销网站。 |
电报[.]农场 | 2021-03-22 | 分销网站。 |
t-telegrm[.]com | 2022-08-29 | 分销网站。 |
电报[.]org | 2022-08-23 | 分销网站。 |
telegramnm[.]org | 2022-08-22 | 分销网站。 |
电报[.]com | 2021-12-01 | 分销网站。 |
电报[.]com | 2022-09-09 | 分销网站。 |
telegramxs[.]com | 2022-07-27 | 分销网站。 |
telegcn[.]com | 2022-11-04 | 分销网站。 |
电报[.]gs | 2022-09-15 | 分销网站。 |
电报-c[.]com | 2022-08-11 | 分销网站。 |
whatsapp[.]net | 2022-10-15 | 分销网站。 |
电报 [.] 组织 | 2022-08-10 | 分发和 C&C 网站。 |
telezzh[.]com | 2022-09-09 | 分发和 C&C 网站。 |
telegramzn[.]com | 2022-08-22 | 分发和 C&C 网站。 |
令牌.jdy[.]me | 2021-10-29 | C&C 服务器。 |
电报[.]org | 2020-01-02 | C&C 服务器。 |
币发财[.]com | 2022-06-17 | C&C 服务器。 |
上传.buchananapp[.]COM | 2022-07-18 | C&C 服务器。 |
137.220.141[.]13 | 2021-08-15 | C&C 服务器。 |
api.oktask88[.]com | 2022-05-09 | C&C 服务器。 |
jk.cqbblmy[.]com | 2022-11-09 | C&C 服务器。 |
103.212.230[.]41 | 2020-07-04 | C&C 服务器。 |
j.pic6005588[.]com | 2022-08-31 | C&C 服务器。 |
b.pic447[.]com | 2022-08-06 | C&C 服务器。 |
180.215.88[.]227 | 2020-03-18 | C&C 服务器。 |
104.233.144[.]130 | 2021-01-13 | C&C 服务器。 |
Department.microsoftmiddlename[.]tk | 2022-08-06 | 恶意负载分发网站。 |
攻击者钱包
钱包地址 | |
---|---|
比特币 | 36uqLsndC2kRJ9xy6PiuAxK3dYmqXw8G93 |
比特币 | 3GekkwGi9oCizBAk6Mki2ChdmTD4LRHKAB |
比特币 | 35b4KU2NBPVGd8nwB8esTmishqdU2PPUrP |
比特币 | 3QtB81hG69yaiHkBCTfPKeZkR8i2yWe8bm |
比特币 | 第396章 |
比特币 | 3K1f9uyae9Fox44kZ7AAZ8eJU98jsya86X |
比特币 | 1Jp8WCP5hWrvnhgf3uDxn8bHXSqt48XJ5Z |
比特币 | 32xFkwSa2U3hE9W3yimShS3dANAbZxxh8w |
比特币 | bc1q0syn34f2q4nuwwunaymzhmfcs28j6tm2cq55fw |
比特币 | bc1qvtj4z66nv85atkgs4a5veg30dc0jf6p707juns |
以太坊 | 0xc4C47A527FE03E92DCe9578E4578cF4d4605b1E1 |
以太坊 | 0x2097831677A4838A63b4E4E840D1b2Be749FC1ab |
以太坊 | 0x8aE1B343717BD7ba43F0bB2407d5253F9604a481 |
以太坊 | 0x276a84565dcF98b615ff2FB12c42b1E9Caaf7685 |
以太坊 | 0x31bdE5A8Bf959CD0f1d4006c15eE48055ece3A5c |
以太坊 | 0xf7A84aa7F4a70262DFB4384fb9D419c14BC1DD9D |
以太坊 | 0x0EF13Db9Cb63Fb81c58Fb137034dA85DFE6BE020 |
以太坊 | 0x24a308B82227B09529132CA3d40C92756f0859EE |
以太坊 | 0xe99A0a26184392635C5bf1B3C03D68360DE3b1Aa |
以太坊 | 0x59e93c43532BFA239a616c85C59152717273F528 |
以太坊 | 0xF90acFBe580F58f912F557B444bA1bf77053fc03 |
特隆 | TX1rZTNB5CdouYpNDRXKBS1XvxVdZ3HrWI |
特隆 | TQA7ggPFKo2C22qspbmAANCXKzonuXShuaa |
特隆 | TTqBt5gUPjEPrPgzmKxskCeyxGWU377YZ8 |
特隆 | TQXz8w94zVJxQy3pAaVsAo6nQRpj5chmuG |
特隆 | TN1JVt3ix5qwWyNvJy38nspqoJXB2hVjwm |
特隆 | TGFXvyTMTAzWZBKqLJUW4esEPb5q8vu2mC |
特隆 | TCo4xVY5m7jN2JhMSgVzvf7mKSon92cYxi |
特隆 | TYoYxTFbSB93v4fhUSDUVXpniB3Jz7z9WA |
特隆 | TSeCVpujFahFS31vBWULwdoJY6DqAaq1Yf |
特隆 | TMCqjsKrEMMogeLGPpb9sdMiNZNbQXG8yA |
特隆 | TJhqKzGQ3LzT9ih53JoyAvMnnH5EThWLQB |
特隆 | TTWNLiWkykUXK1bUmpGrNFNuS17cSvwWK |
Binance | bnb1fp4s2w96genwknt548aecag07mucw95a4z4ly0 |
MITRE ATT&CK 技术
该表是使用 12版 MITRE ATT&CK 移动技术。
战术 | ID | 名称 | 课程描述 |
---|---|---|---|
药物发现 | T1418 | 软件发现 | Android Clipper 可以获得已安装的应用程序列表。 |
购物 | T1409 | 存储的应用程序数据 | Android Clipper 从 Telegram 应用程序的内部存储中提取文件。 |
指挥和控制 | T1437.001 | 应用层协议:Web 协议 | Android Clipper 使用 HTTP 和 HTTPS 与其 C&C 服务器通信。 |
渗出 | T1646 | 通过 C2 通道进行渗透 | Android Clipper 通过其 C&C 渠道泄露被盗数据。 |
影响力故事 | T1641.001 | 数据操作:传输的数据操作 | Android Clipper 在 Telegram 通信中交换加密货币钱包。 |
该表是使用 12版 MITRE ATT&CK 企业技术。
战术 | ID | 名称 | 课程描述 |
---|---|---|---|
执行 | T1106 | 原生API | 木马化的 Windows Telegram 使用 Windows API 函数 Shell执行ExA 执行从其 C&C 接收到的 shell 命令。 |
坚持 | T1547.001 | 启动或登录自动启动执行:注册表运行键/启动文件夹 | 木马化的 Windows Telegram 将自身复制到启动目录以持久存在。 |
特权升级 | T1134 | 访问令牌操作 | 木马化的 Windows Telegram 调整令牌权限以启用 调试权限. |
防御规避 | T1070.001 | 指标删除:清除 Windows 事件日志 | 木马化的 Windows Telegram 能够删除事件日志。 |
T1140 | 去混淆/解码文件或信息 | 木马化的 Windows Telegram 解密 RAT DLL 并将其加载到内存中。 | |
T1574.002 | 劫持执行流程:DLL 侧载 | 木马化的 Windows Telegram 使用合法的应用程序来执行 DLL 侧面加载。 | |
T1622 | 调试器规避 | 木马化的 Windows Telegram 检查 被调试 PEB 的标志以检测是否存在调试器。 | |
T1497 | 虚拟化/沙盒规避 | 木马化的 Windows Telegram 通过 WQL 识别虚拟机中的执行。 | |
凭证访问 | T1056.001 | 输入捕获:键盘记录 | 木马化的 Windows Telegram 有一个键盘记录器。 |
药物发现 | T1010 | 应用程序窗口发现 | 木马化的 Windows Telegram 能够发现应用程序窗口 EnumWindows的. |
T1012 | 查询注册表 | 木马化的 Windows Telegram 可以枚举注册表项。 | |
T1057 | 进程发现 | 木马化的 Windows Telegram 可以列出系统上正在运行的进程。 | |
T1082 | 系统信息发现 | 木马化的 Windows Telegram 收集系统架构、处理器、操作系统配置和硬件信息。 | |
购物 | T1113 | 屏幕录制 | 木马化的 Windows Telegram 会捕获受害者的屏幕。 |
T1115 | 剪贴板数据 | 木马化的 Windows Telegram 从受害者那里窃取剪贴板数据。 | |
指挥和控制 | T1071.001 | 应用层协议:Web 协议 | 木马化的 Windows Telegram 使用 HTTPS 与其 C&C 服务器通信。 |
T1095 | 非应用层协议 | 木马化的 Windows Telegram 使用加密的 TCP 协议与 C&C 通信。 | |
T1105 | 入口工具传输 | 木马化的 Windows Telegram 可以下载额外的文件。 | |
T1573 | 加密频道 | 木马化的 Windows Telegram 加密 TCP 通信。 | |
渗出 | T1041 | 通过 C2 通道进行渗透 | 木马化的 Windows Telegram 将受害者数据发送到其 C&C 服务器。 |
影响力故事 | T1529 | 系统关机/重启 | 木马化的 Windows Telegram 可以重启或关闭受害者的机器。 |
T1565.002 | 数据操作:传输的数据操作 | 木马化的 Windows Telegram 在 Telegram 通信中交换加密货币钱包。 | |
T1531 | 删除帐户访问权限 | 木马化的 Windows Telegram 会删除常用浏览器的配置文件,以迫使受害者登录他们的网络帐户。 |
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 汽车/电动汽车, 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
- 块偏移量。 现代化环境抵消所有权。 访问这里。
- Sumber: https://www.welivesecurity.com/2023/03/16/not-so-private-messaging-trojanized-whatsapp-telegram-cryptocurrency-wallets/
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 1040
- 11
- 12
- 13
- 14
- 15%
- 16
- 17
- 2000
- 2022
- 220
- 23
- 36
- 7
- 8
- 9
- a
- Able
- 关于
- 滥用
- ACCESS
- 账号管理
- 账户
- 操作
- 行动
- 活动
- 演员
- 加
- 增加
- 额外
- 另外
- 地址
- 地址
- 广告
- 高级
- 先进技术支持
- 优点
- 广告
- 劝
- 后
- 再次
- 经纪人
- 援助
- 飞机
- 所有类型
- 让
- 允许
- 沿
- 还
- 时刻
- 其中
- an
- 分析
- 分析
- 分析
- 和
- 安卓
- 另一个
- 任何
- API
- 应用
- 出现
- 应用领域
- 应用领域
- 应用的
- 使用
- 的途径
- 应用
- APT
- 架构
- 保健
- 抵达
- AS
- 相关
- At
- 攻击
- 吸引力
- 作者
- 自动
- 可用性
- 可使用
- 察觉
- 背景
- 备份工具
- 基于
- 基本包
- 基本上
- BE
- 因为
- 成为
- 很
- before
- 开始
- 背后
- 作为
- 相信
- 属于
- 除了
- 更好
- 之间
- binance
- 比特币
- 封锁
- 都
- 品牌
- 简要地
- 浏览器
- 建立
- 建
- 捆绑
- 但是
- by
- 被称为
- CAN
- 不能
- 能力
- 捕获
- 捕获
- 捕获
- 汽车
- 案件
- 例
- Center
- 一定
- 当然
- 链
- 变
- 改变
- 渠道
- 通道
- 字符
- 字符识别
- 字符
- 查
- 支票
- 中国
- 中文
- 暗号
- 界
- 声称
- 清除
- 客户
- 剪子
- 簇
- 码
- 代码库
- 组合
- 如何
- 相当常见
- 常用
- 通信
- 沟通
- 通信
- 相比
- 比较
- 完全
- 复杂
- 由
- 包含
- 妥协
- 配置
- 连接
- 考虑
- 构成
- 联系
- 包含
- 包含
- 内容
- Contents
- 对比
- 控制
- 相应
- 可以
- 伪造
- 套餐
- 创建信息图
- 资历
- cryptocurrencies
- cryptocurrency
- 加密货币钱包
- 加密货币钱包
- 加密窃取
- 目前
- 习俗
- 定制
- 网络罪犯
- data
- 最深
- 默认
- 国防
- 演示
- 依赖
- 部署
- 描述
- 描述
- 描述
- 通过电脑捐款
- 检测
- 发达
- 设备
- 设备
- DID
- 不同
- 差异
- 不同
- 数字
- 直接
- 通过各种方式找到
- 发现
- 显示
- 分布
- 分配
- do
- 不
- 域名
- 翻番
- 下载
- 几十个
- 两
- ,我们将参加
- 动态
- 每
- 缓解
- 或
- 十一
- 嵌入式
- 员工
- enable
- 加密
- 结束
- 企业
- 成熟
- 编制
- 复仇
- 甚至
- 活动
- 例子
- 例外
- 换货
- 执行
- 执行
- 执行
- 现有
- 扩大
- 解释
- 延期
- 扩展
- 提取
- 提取物
- 假
- 远
- 少数
- 数字
- 图
- 文件
- 档
- 找到最适合您的地方
- 发现
- 发现
- (名字)
- 第一次
- 已标记
- 标志
- 流
- 专注焦点
- 重点
- 重点
- 聚焦
- 针对
- 力
- 申请
- 发现
- 四
- 欺诈
- 自由的
- 频繁
- 止
- ,
- 功能
- 功能
- 功能
- 资金
- 进一步
- 此外
- 获得
- 其他咨询
- 真正
- 得到
- 越来越
- 一览
- Go
- 去
- 谷歌
- Google Play
- 谷歌Play商店
- 团队
- 组的
- 民政事务总署
- 手
- 手
- 硬件
- 有
- 帮助
- 隐藏
- 更高
- 突出
- 举行
- 但是
- HTML
- HTTP
- HTTPS
- 数百
- ID
- 相同
- 确定
- 识别
- 鉴定
- if
- 图片
- 图片
- 实施
- 履行
- 改善
- in
- 深入
- 适应症
- 间接
- 信息
- 无辜
- 咨询内容
- 内
- 灵感
- 安装
- 安装
- 例
- 即食类
- 代替
- 房源搜索
- 有兴趣
- 有趣
- 内部
- 成
- 奇妙
- 侵入
- iOS
- 发行
- IT
- 意大利
- 它的
- 本身
- 只是
- 保持
- 保持
- 不停
- 键
- 键
- 关键词
- 已知
- 语言
- (姓氏)
- 最新
- 层
- 铅
- 领导
- 学习
- 最少
- 导致
- 左
- 合法
- 减
- 自学资料库
- 喜欢
- 友情链接
- 链接
- Linux的
- 清单
- 负载
- 日志
- 记录
- 登录
- 长
- 不再
- LOOKS
- 奢华享受
- 机
- 机器学习
- 机
- MacOS的
- 主要
- 主要
- 制作
- 恶意软件
- 操作
- 手动
- 意
- 手段
- 成员
- 内存
- 的话
- 条未读消息
- 消息
- 信使
- 方法
- 微软
- 可能
- 助记符
- 联络号码
- 改性
- 修改
- 模块
- Monero
- 显示器
- 更多
- 此外
- 最先进的
- 大多
- 姓名
- 必要
- 需求
- 也不
- 全新
- 没有
- 不包含
- 通知
- 臭名昭著
- 现在
- 数
- 数字
- 获得
- 获得
- 获得
- OCR
- of
- 提供
- 最多线路
- 优惠精选
- 官方
- 正式
- on
- 一旦
- 一
- 在线
- 仅由
- 开放源码
- 操作
- 操作
- 操作系统
- 运营
- 运营商
- ZAP优势
- 反对
- 光学字符识别
- or
- 秩序
- 原版的
- OS
- 其他名称
- 其它
- 我们的
- 输出
- 学校以外
- 超过
- 己
- 自己的钱包
- 页
- 支付
- 部分
- 特别
- 密码
- 密码
- 模式
- 模式
- 员工
- 演出
- 执行
- 坚持
- 人
- 个人
- 电话
- 图片
- 短语
- 图片
- 片
- 地方
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- Play商店
- 插入
- 点
- 手提
- 可能
- 帖子
- 可能
- 当下
- 以前
- 私立
- 私钥
- 权限
- 大概
- 市场问题
- 过程
- 过程
- 处理器
- 简介
- 曲目
- 训练课程
- 协议
- 提供
- 提供
- 代理
- 国家
- 公然
- 购买
- 目的
- 放
- 范围
- RAT
- 阅读
- 阅读
- 接收
- 收到
- 承认
- 承认
- 确认
- 认识
- 恢复
- 恢复
- 红色
- 重定向
- 注册处
- 有关
- 相对
- 相应
- 可靠
- 可靠来源
- 远程
- 通过远程访问
- 切除
- 去掉
- 更换
- 更换
- 报道
- 业务报告
- 请求
- 必须
- 研究
- 研究人员
- 度假村
- 提供品牌战略规划
- REST的
- 重新启动
- 成果
- 揭示
- 右
- 运行
- 运行
- 运行
- s
- 同
- 锯
- 诈骗
- 浏览
- 屏风
- 截图
- 搜索
- 搜索
- 其次
- 部分
- 保安
- 看到
- 种子
- 种子短语
- 看到
- 似乎
- 似乎
- 看到
- 看到
- 寄件人
- 发送
- 感
- 敏感
- 发送
- 系列
- 服务
- 特色服务
- 服务
- 集
- 几个
- 共享
- 壳
- 如图
- 关闭
- 显著
- 类似
- 只是
- 自
- 单
- 网站
- 情况
- 略有不同
- 小
- So
- 软件
- 方案,
- 一些
- 东西
- 来源
- 源代码
- 来源
- 特别
- 具体的
- 特别是
- 分裂
- 标准
- 开始
- 启动
- 抢断
- 仍
- 被盗
- 存储
- 商店
- 存储
- 简单的
- 串
- 走向成功
- 这样
- 肯定
- 交换
- 交换
- 互换
- Switch 开关
- 系统
- 产品
- 表
- 采取
- 需要
- 服用
- 目标
- 瞄准
- 目标
- 技术
- 专业技术
- Telegram
- 展示
- 比
- 这
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 透
- 那些
- 虽然?
- 威胁
- 威胁者
- 通过
- 从而
- 次
- 类型
- 至
- 象征
- 工具
- 最佳
- 翻译
- 创新福星
- 可靠
- 尝试
- 二
- 类型
- 类型
- 无法
- 裸露
- 不幸
- 不幸
- 不像
- 直到
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- 平时
- 折扣值
- 变种
- 各种
- 各个
- 企业验证
- 版本
- 版本
- 非常
- 通过
- 受害者
- 受害者
- 观众
- 在线会议
- 虚拟机
- 可见
- 参观
- 钱包
- 钱包
- 想
- 是
- 方法..
- we
- 卷筒纸
- 您的网站
- 网站
- 井
- 为
- 什么是
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 全
- 谁的
- 为什么
- 宽
- 大范围
- 更宽
- 将
- 窗口
- 窗户
- 中
- 也完全不需要
- 话
- 合作
- 将
- 年
- 完全
- 您一站式解决方案
- YouTube的
- 和风网
- 压缩