查看: 3501|回复: 9
收起左侧

[资讯] 【翻译】针对中国用户的受限聊天软件的恶意广告

  [复制链接]
神龟Turmi
发表于 2024-1-30 17:39:43 | 显示全部楼层 |阅读模式
本帖最后由 神龟Turmi 于 2024-1-30 17:52 编辑

原文里有一些不适合在卡饭发布的词汇,我做了些修改。请不要在本帖讨论危害论坛安全内容。

原文:https://www.malwarebytes.com/blo ... arget-chinese-users

一场正在进行的恶意广告活动一直以中文用户为目标,引诱他们使用 Telegram 或 LINE 等流行聊天软件,目的是传播恶意软件。有趣的是,像 Telegram 这样的软件在中国受到严格限制。          ###此处删除了一句话###
攻击者正在滥用 Google 广告商帐户来创建恶意广告,并将毫无戒心的用户引流到下载远程控制木马 (RAT) 的页面。此类木马使攻击者能够完全控制受害者的计算机并投递其他恶意软件。
恶意广告活动主要针对受限或禁止的应用程序,这可能并非巧合。虽然我们不知道攻击者的真实意图,但他们的动机可能是数据收集和间谍活动。在这篇文章中,我们分享了有关我们能够收集的恶意广告和payloads的更多信息。

恶意广告

在Google搜索"telegram"时,我们会看到赞助广告的搜索结果。 ###这句话经过修改###

这是"LINE"的广告。

我们发现了这些广告背后的两个广告商帐户,它们都与尼日利亚的用户高度相关:
  • Interactive Communication Team Limited
  • Ringier Media Nigeria Limited
由于每个帐户的广告数量众多(包括许多与这些活动无关的广告),我们认为它们可能已被攻击者接管。



基础设施

该攻击者似乎依赖 Google 文档或 Google 网站这类的 Google 基础设施。这些服务允许他们插入下载链接,甚至重定向到被他们控制的其他网站。



Payloads

我们从这次活动中收集了许多payloads,全部使用 MSI 格式。其中一些使用了一种称为 DLL 侧载的技术,该技术会将合法应用程序与自动加载的恶意 DLL 结合起来。###不好翻译... 说人话:白加黑###

在上面的示例中,DLL 是使用现已吊销的 Sharp Brilliance Communication Technology Co., Ltd 的泄漏证书进行签名的,该证书最近也用于签署PlugX RAT 样本。(PlugX是来自中国的远控,也使用了DLL侧载技术)。  此次攻击并不是所有投放的恶意软件都是全新的,实际上,有些恶意软件之前曾在其他活动中使用过,并都是 Gh0st RAT 的变种。

活跃威胁

一个中国用户经常访问的,致力于安全的网站和论坛 (bbs[.]kafan[.]cn) 不断关注这些活跃的恶意软件,他们将其称为 FakeAPP。

攻击者似乎通过以量取胜而不是样本的质量。
在线广告让特定受众接触到的有效方式,但是它们也可以被滥用。###此处删除了半句话###
此次攻击的payloads与在南亚地区观察到的威胁一致,我们看到了相似的技术,例如在许多远控中非常流行的 DLL 侧载。这种类型的恶意软件非常适合收集有关某人的信息,并在必要时悄悄地删掉自己。
我们已就恶意广告向 Google 进行了举报,并举报了支持这样行为的基础设施。

Malwarebytes 在样本执行时能检测到恶意的Payloads。


IOCs

钓鱼域名:
  1. telagsmn[.]com
  2. teleglren[.]com
  3. teleglarm[.]com
复制代码

重定向域名:
  1. 5443654[.]site
  2. 5443654[.]world
复制代码

Payloads:
  1. CS-HY-A8-bei.msi
  2. 63b89ca863d22a0f88ead1e18576a7504740b2771c1c32d15e2c04141795d79a

  3. w-p-p64.msi
  4. a83b93ec2a5602d102803cd02aecf5ac6e7de998632afe6ed255d6808465468e

  5. mGtgsotp_zhx64.msi
  6. acf6c75533ef9ed95f76bf10a48d56c75ce5bbb4d4d9262be9631c51f949c084

  7. cgzn-tesup.msi
  8. ec2781ae9af54881ecbbbfc82b34ea4009c0037c54ab4b8bd91f3f32ab1cf52a

  9. tpseu-tcnz.msi
  10. c08be9a01b3465f10299a461bbf3a2054fdff76da67e7d8ab33ad917b516ebdc
复制代码

C&C服务器:
  1. 47.75.116[.]234:19858
  2. 216.83.56[.]247:36061
  3. 45.195.148[.]73:15628
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 13分享 +3 人气 +27 收起 理由
屁颠屁颠 + 3 版区有你更精彩: )
a286282313 + 3
Picca + 3 版区有你更精彩: )
chx818 + 2 版区有你更精彩: )
KIRSCH56 + 2 赞一个!

查看全部评分

交流学习大猫咪
发表于 2024-1-30 18:25:11 | 显示全部楼层
感谢龟大分享。学习了,谢谢。
James008
发表于 2024-1-30 18:30:27 | 显示全部楼层
了解了,谢谢
有必要留意
TimelessTT
发表于 2024-1-30 20:21:32 | 显示全部楼层
《测MB测的》

评分

参与人数 1人气 +1 收起 理由
真小读者 + 1 很给力!

查看全部评分

hsks
发表于 2024-1-30 21:14:35 | 显示全部楼层
本帖最后由 hsks 于 2024-1-30 21:15 编辑

探头.jpg

今天摸了,过几小时再发包(

神龟Turmi
 楼主| 发表于 2024-1-30 21:19:51 | 显示全部楼层
hsks 发表于 2024-1-30 21:14
探头.jpg

今天摸了,过几小时再发包(

要不要再去给MB输送一点 省的他们来卡饭开翻译了(
Jirehlov1234
发表于 2024-1-30 21:22:43 | 显示全部楼层
感觉这些fakeapp活动是厂商们水blog的长期素材,没东西写了就拎出来,反正谷歌不作为

评分

参与人数 3人气 +6 收起 理由
真小读者 + 1 很给力!
hsks + 2 MHT:这个我熟(
神龟Turmi + 3 摸摸

查看全部评分

神龟Turmi
 楼主| 发表于 2024-1-30 21:26:50 | 显示全部楼层
Jirehlov1234 发表于 2024-1-30 21:22
感觉这些fakeapp活动是厂商们水blog的长期素材,没东西写了就拎出来,反正谷歌不作为

这篇我翻译的主要原因是他们提到了卡饭(
而且截图的是我的帖子(

评分

参与人数 3人气 +3 收起 理由
KIRSCH56 + 1 很给力!
真小读者 + 1 很给力!
Frank404 + 1 版区有你更精彩: )

查看全部评分

784696777
发表于 2024-1-30 22:04:43 | 显示全部楼层
虽然我们不知道攻击者的真实意图,但他们的动机可能是数据收集和间谍活动。
nvwcc
发表于 2024-1-31 08:59:08 | 显示全部楼层
没事,国内反正也打不开谷歌、谷歌site
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:33 , Processed in 0.137709 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表