【更新，共6个】Fake Telegram(s)

显示全部楼层 · 发表于 2022-6-9 11:07:51

Jirehlov1234 发表于 2022-6-8 22:04
很多系列是同时拥有多个域名来传播的，看一下有没有在我的合集https://github.com/Jirehlov/IoCs/blob/ma ...

芜湖，第二个teleylc]com没有，快去update

显示全部楼层 · 发表于 2022-6-9 11:10:23

话说这网站太无脑了，安卓的苹果的下载都是一个msi安装包，你这俩但凡挂个官方的下载源也不至于这么明显

显示全部楼层 · 发表于 2022-6-9 11:14:47

火绒扫描miss

显示全部楼层 · 发表于 2022-6-9 11:17:15

hushuai 发表于 2022-6-9 03:07
芜湖，第二个teleylc]com没有，快去update

你可以尝试不同环境配置以触发谷歌广告的不同推送。一般可以根据域名注册时间和channel的注册时间判断新旧

显示全部楼层 · 发表于 2022-6-9 11:20:53

本帖最后由 Kingbatsoft 于 2022-6-9 11:23 编辑

芜湖，第一个msi包同时装火绒和360扫描双击都miss了
第二个打开火绒360同时报，360报BackDoor
病毒名称：TrojanDropper/Agent.ev
病毒ID：051E4D1F66F3FA8A
病毒路径：C:\Users\Kingbatsoft\AppData\Local\Temp\360safe.exe
操作类型：修改
操作结果：已处理

显示全部楼层 · 发表于 2022-6-9 11:22:55

各位再测测后两个，一个几小时前生成的VT还是0，一个已经有几周了VT却只有8

显示全部楼层 · 发表于 2022-6-9 11:25:24

hushuai 发表于 2022-6-9 11:22
各位再测测后两个，一个几小时前生成的VT还是0，一个已经有几周了VT却只有8

第三个域名ESET智量均miss，第二个也是均miss

显示全部楼层 · 发表于 2022-6-9 11:30:47

看多了就会发现，实际上Google Ads->YouTube Channel ->Fake sites的传播链百分之七八十都是cntegrom[.com及其马甲。他们样本更新的很勤快，但都大同小异，主要是为了过哈希拉黑。
另外由于样本主体一般都是几十MB比较大，vt上的几乎都是手动上传的。所以不要以为vt没有就是新样本。见过一个三月份的vt不仅没有本体也没有payload

显示全部楼层 · 发表于 2022-6-9 11:38:55

Jirehlov1234 发表于 2022-6-8 22:30
看多了就会发现，实际上Google Ads->YouTube Channel ->Fake sites的传播链百分之七八十都是cntegrom[.com ...

的确，我刚刚找到最后一个样本是3月22生成的，VT就没有样本。不过前两个看创建时间的确是今天。
不过我开的adguard，所以google ads我看不到。但是Google首页肯定还是花了大价钱SEO的

显示全部楼层 · 发表于 2022-6-9 11:40:27

样本太多了，把哈希或者vt链接发一下（没错，想偷懒

[病毒样本] 【更新，共6个】Fake Telegram(s)

浏览过的版块