点击上方蓝字关注我们
概述
恶意广告活动详情
在谷歌上搜索Telegram纸飞机桌面客户端,结果如下图所示:
从上图中可以看出,恶意广告在搜索结果中排第二,且使用“Official(官方)”等字样以诱使用户点击访问。点击链接后,用户将被重定向到Telegram的合法域desktop.telegram.com,如下图所示:
使用TLD检查器进行搜索后,研究人员发现了三个使用相同TTP的恶意网站,如下所示:
这三个网站都是Telegram网站的克隆,网站上的所有链接都被重定向到Telegram的合法域名desktop.telegram.com。但是其中Windows版Telegram桌面可执行文件被替换成了恶意软件。研究人员表明.com和.net网站已经下载了2746次恶意Windows可执行文件,.org网站在短短两天内就吸引了529次下载。
这些网站的证书都是由相同的CA在相同的时间范围内所颁发的,如下图所示:
且whois信息表明,这些网站的域名都是在namecheap.com上注册的,这更加证实了它们很有可能属于同一攻击者。不幸的是,这些页面都使用了WhoisGuard服务,从而隐藏管理员的身份。这三个恶意网站都已被研究人员存档:
-
https://web.archive.org/web/20210314215652/https://telegramdesktop.org/
-
https://web.archive.org/web/20210314215723/https://telegramdesktop.net/
-
https://web.archive.org/web/20210314215710/https://telegramdesktop.com/
研究人员发现.com网站将恶意文件托管在Bitbucket存储库中(类似于GitHub)。通过访问该存储库,研究人员收集了有关感染数量、操作日期以及恶意软件样本的一些其他信息。并在该存储库的提交页面中,发现名为TrustedVarios的用户和电子邮件地址[email protected]。
END
本文始发于微信公众号(SecTr安全团队):针对Telegram纸飞机的恶意广告活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论