【翻译】针对中国用户的受限聊天软件的恶意广告

神龟Turmi

原文里有一些不适合在卡饭发布的词汇，我做了些修改。请不要在本帖讨论危害论坛安全内容。

原文：https://www.malwarebytes.com/blo ... arget-chinese-users

一场正在进行的恶意广告活动一直以中文用户为目标，引诱他们使用 Telegram 或 LINE 等流行聊天软件，目的是传播恶意软件。有趣的是，像 Telegram 这样的软件在中国受到严格限制。          ###此处删除了一句话###
攻击者正在滥用 Google 广告商帐户来创建恶意广告，并将毫无戒心的用户引流到下载远程控制木马 (RAT) 的页面。此类木马使攻击者能够完全控制受害者的计算机并投递其他恶意软件。
恶意广告活动主要针对受限或禁止的应用程序，这可能并非巧合。虽然我们不知道攻击者的真实意图，但他们的动机可能是数据收集和间谍活动。在这篇文章中，我们分享了有关我们能够收集的恶意广告和payloads的更多信息。

恶意广告

在Google搜索"telegram"时，我们会看到赞助广告的搜索结果。 ###这句话经过修改###

这是"LINE"的广告。

我们发现了这些广告背后的两个广告商帐户，它们都与尼日利亚的用户高度相关：

• Interactive Communication Team Limited
• Ringier Media Nigeria Limited
  

由于每个帐户的广告数量众多（包括许多与这些活动无关的广告），我们认为它们可能已被攻击者接管。



基础设施

该攻击者似乎依赖 Google 文档或 Google 网站这类的 Google 基础设施。这些服务允许他们插入下载链接，甚至重定向到被他们控制的其他网站。



Payloads

我们从这次活动中收集了许多payloads，全部使用 MSI 格式。其中一些使用了一种称为 DLL 侧载的技术，该技术会将合法应用程序与自动加载的恶意 DLL 结合起来。###不好翻译... 说人话：白加黑###

在上面的示例中，DLL 是使用现已吊销的 Sharp Brilliance Communication Technology Co., Ltd 的泄漏证书进行签名的，该证书最近也用于签署PlugX RAT 样本。（PlugX是来自中国的远控，也使用了DLL侧载技术）。  此次攻击并不是所有投放的恶意软件都是全新的，实际上，有些恶意软件之前曾在其他活动中使用过，并都是 Gh0st RAT 的变种。

活跃威胁

一个中国用户经常访问的，致力于安全的网站和论坛 (bbs[.]kafan[.]cn) 不断关注这些活跃的恶意软件，他们将其称为 FakeAPP。

攻击者似乎通过以量取胜而不是样本的质量。
在线广告让特定受众接触到的有效方式，但是它们也可以被滥用。###此处删除了半句话###
此次攻击的payloads与在南亚地区观察到的威胁一致，我们看到了相似的技术，例如在许多远控中非常流行的 DLL 侧载。这种类型的恶意软件非常适合收集有关某人的信息，并在必要时悄悄地删掉自己。
我们已就恶意广告向 Google 进行了举报，并举报了支持这样行为的基础设施。

Malwarebytes 在样本执行时能检测到恶意的Payloads。


IOCs

钓鱼域名：

1. telagsmn[.]com
   
2. teleglren[.]com
   
3. teleglarm[.]com

复制代码

重定向域名：

1. 5443654[.]site
   
2. 5443654[.]world

复制代码

Payloads：

1. CS-HY-A8-bei.msi
   
2. 63b89ca863d22a0f88ead1e18576a7504740b2771c1c32d15e2c04141795d79a
   
3. 
   
4. w-p-p64.msi
   
5. a83b93ec2a5602d102803cd02aecf5ac6e7de998632afe6ed255d6808465468e
   
6. 
   
7. mGtgsotp_zhx64.msi
   
8. acf6c75533ef9ed95f76bf10a48d56c75ce5bbb4d4d9262be9631c51f949c084
   
9. 
   
10. cgzn-tesup.msi
    
11. ec2781ae9af54881ecbbbfc82b34ea4009c0037c54ab4b8bd91f3f32ab1cf52a
    
12. 
    
13. tpseu-tcnz.msi
    
14. c08be9a01b3465f10299a461bbf3a2054fdff76da67e7d8ab33ad917b516ebdc

复制代码

C&C服务器：

1. 47.75.116[.]234:19858
   
2. 216.83.56[.]247:36061
   
3. 45.195.148[.]73:15628

复制代码

交流学习大猫咪

感谢龟大分享。学习了，谢谢。

James008

了解了，谢谢
有必要留意

TimelessTT

《测MB测的》

hsks

探头.jpg

今天摸了，过几小时再发包（

神龟Turmi

hsks 发表于 2024-1-30 21:14
探头.jpg

今天摸了，过几小时再发包（

要不要再去给MB输送一点 省的他们来卡饭开翻译了（

Jirehlov1234

感觉这些fakeapp活动是厂商们水blog的长期素材，没东西写了就拎出来，反正谷歌不作为

神龟Turmi

Jirehlov1234 发表于 2024-1-30 21:22
感觉这些fakeapp活动是厂商们水blog的长期素材，没东西写了就拎出来，反正谷歌不作为

这篇我翻译的主要原因是他们提到了卡饭（
而且截图的是我的帖子（

784696777

虽然我们不知道攻击者的真实意图，但他们的动机可能是数据收集和间谍活动。

nvwcc

没事，国内反正也打不开谷歌、谷歌site