最近,Telegram平台上出现了一种新型的钓鱼攻击方式,攻击者通过伪造的“安全验证码”页面诱骗用户下载并植入恶意软件。
攻击概述
这次攻击展示了从传统的基于URL的验证码攻击,到如今更为复杂、以Telegram为媒介的攻击手段的演变。攻击的主要目标是加密货币社区,攻击者利用钓鱼手段诱使毫无戒心的用户执行恶意脚本。这种创新的攻击方式凸显了网络犯罪分子在传播恶意软件方面的迅速创新和适应能力。
感染链
感染链始于 X 平台(以前称为 Twitter),攻击者以有益讨论为幌子诱使用户加入 Telegram 和频道群组。
一旦进入这些群组或频道,受害者会被要求使用一个伪造的“Safeguard”机器人进行身份验证——“Safeguard”是一个常用的Telegram用户验证机器人。受害者在执行这一验证过程时,会不知不觉地被诱导安装恶意软件。
具体攻击手法
社交工程—X平台精准撒网攻击者通过在X平台的热门加密货币社区发布空投教程"、"漏洞利用"等诱导性帖子或评论,冒充经过验证的账户或创建欺骗性的账户,这些账户的名称和头像模仿真实加密货币有影响力的大佬账号。然后所有诱导信息最终指向Telegram群组链接,规避社交平台的内容审查机制
点击恶意链接当受害者点击链接进入Telegram群组或频道后,会看到一条消息,提示他们使用伪造的“Safeguard”机器人完成身份验证。
伪造的验证过程点击“Tap to Verify”按钮后,受害者会被带到一个假冒的Telegram机器人页面,机器人名称与合法的Safeguard变体非常相似。根据受害者设备的不同,攻击者会针对不同平台执行不同的恶意操作:
-
Windows系统受害者点击验证按钮后,会看到分步骤的提示。恶意代码会悄悄注入受害者的剪贴板。如果用户将其粘贴到“运行”对话框中,会看到一个以“Telegram”字样开头的部分内容,从而掩盖恶意代码的真正意图。
![没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链]( "没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链")
-
复制到剪贴板的恶意命令会从攻击者的C2服务器获取第二阶段的PowerShell脚本并执行。该脚本向C2端点发送POST请求,标记“PowerShell脚本已成功执行”。随后,脚本会下载一个ZIP文件并提取内容,最终执行“Lumma Stealer”恶意载荷。
![没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链]( "没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链")
-
Mac系统在Mac设备上,恶意代码会直接执行命令行,传递“Atomic Stealer”恶意软件。
![没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链]( "没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链")
-
移动设备对于移动设备,攻击会逐渐获取用户的Telegram权限。如果及时发现,用户可以通过进入Telegram的“设置”>“隐私与安全”>“活动会话”,终止所有可疑会话。此外,还应启用或修改两步验证设置,以提升安全性。
![没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链]( "没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链")
知识星球: ![没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链]( "没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链")
So,你被这样钓过鱼吗?欢迎文章下面留言讨论
原文始发于微信公众号(老鑫安全):没有复杂代码的入侵:揭秘境外黑客的验证码钓鱼经济链
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论