针对Telegram纸飞机的恶意广告活动

点击上方蓝字关注我们

概述

安全研究员Jannis Kirschner在谷歌上搜索Telegram纸飞机桌面客户端时，发现了一个有趣的恶意广告活动。该恶意广告位于谷歌搜索结果的第二位，点击后被重定向到Telegram的合法域desktop.telegram.com，但其中的Windows二进制文件被替换成了恶意软件。

恶意广告活动详情

在谷歌上搜索Telegram纸飞机桌面客户端，结果如下图所示：

从上图中可以看出，恶意广告在搜索结果中排第二，且使用“Official(官方)”等字样以诱使用户点击访问。点击链接后，用户将被重定向到Telegram的合法域desktop.telegram.com，如下图所示：

该仿冒页面与合法的Telegram下载页面几乎完全一样，使用户难以识别。然而，研究人员对页面中的链接进行分析后，发现该页面中的windows二进制文件被替换成恶意软件，如下图所示：

使用TLD检查器进行搜索后，研究人员发现了三个使用相同TTP的恶意网站，如下所示：

这三个网站都是Telegram网站的克隆，网站上的所有链接都被重定向到Telegram的合法域名desktop.telegram.com。但是其中Windows版Telegram桌面可执行文件被替换成了恶意软件。研究人员表明.com和.net网站已经下载了2746次恶意Windows可执行文件，.org网站在短短两天内就吸引了529次下载。

这些网站的证书都是由相同的CA在相同的时间范围内所颁发的，如下图所示：

且whois信息表明，这些网站的域名都是在namecheap.com上注册的，这更加证实了它们很有可能属于同一攻击者。不幸的是，这些页面都使用了WhoisGuard服务，从而隐藏管理员的身份。这三个恶意网站都已被研究人员存档：

• https://web.archive.org/web/20210314215652/https://telegramdesktop.org/

• https://web.archive.org/web/20210314215723/https://telegramdesktop.net/

• https://web.archive.org/web/20210314215710/https://telegramdesktop.com/

研究人员发现.com网站将恶意文件托管在Bitbucket存储库中(类似于GitHub)。通过访问该存储库，研究人员收集了有关感染数量、操作日期以及恶意软件样本的一些其他信息。并在该存储库的提交页面中，发现名为TrustedVarios的用户和电子邮件地址[email protected]。

END

好文！必须在看

本文始发于微信公众号（SecTr安全团队）：针对Telegram纸飞机的恶意广告活动