针对Telegram纸飞机的恶意广告活动

  • A+
所属分类:安全新闻
点击上方蓝字关注我们



概述


安全研究员Jannis Kirschner在谷歌上搜索Telegram纸飞机桌面客户端时,发现了一个有趣的恶意广告活动。该恶意广告位于谷歌搜索结果的第二位,点击后被重定向到Telegram的合法域desktop.telegram.com,但其中的Windows二进制文件被替换成了恶意软件。

恶意广告活动详情


在谷歌上搜索Telegram纸飞机桌面客户端,结果如下图所示:



从上图中可以看出,恶意广告在搜索结果中排第二,且使用“Official(官方)”等字样以诱使用户点击访问。点击链接后,用户将被重定向到Telegram的合法域desktop.telegram.com,如下图所示:


该仿冒页面与合法的Telegram下载页面几乎完全一样,使用户难以识别。然而,研究人员对页面中的链接进行分析后,发现该页面中的windows二进制文件被替换成恶意软件,如下图所示:

使用TLD检查器进行搜索后,研究人员发现了三个使用相同TTP的恶意网站,如下所示:



这三个网站都是Telegram网站的克隆,网站上的所有链接都被重定向到Telegram的合法域名desktop.telegram.com。但是其中Windows版Telegram桌面可执行文件被替换成了恶意软件。研究人员表明.com和.net网站已经下载了2746次恶意Windows可执行文件,.org网站在短短两天内就吸引了529次下载。


这些网站的证书都是由相同的CA在相同的时间范围内所颁发的,如下图所示:



且whois信息表明,这些网站的域名都是在namecheap.com上注册的,这更加证实了它们很有可能属于同一攻击者。不幸的是,这些页面都使用了WhoisGuard服务,从而隐藏管理员的身份。这三个恶意网站都已被研究人员存档:


  • https://web.archive.org/web/20210314215652/https://telegramdesktop.org/

  • https://web.archive.org/web/20210314215723/https://telegramdesktop.net/

  • https://web.archive.org/web/20210314215710/https://telegramdesktop.com/

研究人员发现.com网站将恶意文件托管在Bitbucket存储库中(类似于GitHub)。通过访问该存储库,研究人员收集了有关感染数量、操作日期以及恶意软件样本的一些其他信息。并在该存储库的提交页面中,发现名为TrustedVarios的用户和电子邮件地址beertmp+dtemn@gmail.com。



END




好文!必须在看

本文始发于微信公众号(SecTr安全团队):针对Telegram纸飞机的恶意广告活动

发表评论