最近,360 Security Guard团队收到了用户的反馈,称它从Discord下载的Telegram通信软件被怀疑是木马病毒,导致文件下载,聊天,键盘输入和其他操作。经过及时的响应和持续的跟进,360安全卫队终于发现了一个伪装成Telegram通信软件安装包进行攻击的病毒木马,并根据传播方式将其命名为FakeTelegram。
高度隐蔽地穿着电报背心
据报道,这种新型木马将下载合法的Telegram安装包以进行安装以掩盖黑暗中的恶意活动,并通过RDP服务驻留,然后等待有机会启动长期后门程序,记录键盘输入,扫描浏览器密码等。操作方面,潜在威胁很大。但是,用户无需太担心,只需及时下载并安装360 Security Guard即可监视和杀死该木马。
之所以将FakeTelegram称为巨大威胁,主要是基于其通信渠道的特殊性。根据360 Security Brain的监视结果,该木马托管在Discord CDN服务器上。 Discord是一种主要面向游戏玩家的流行聊天和通信软件,并且用户数量逐年增加。而且,由于上传到Discord的附件可以由每个人下载,因此用户之间的文件共享和传输快速便捷,这也引起了网络分子的关注。接下来是,Discord的CDN服务器上托管了大量恶意软件,以提供木马进行远程下载。
高级攻击防御很难隐藏和隐藏
在360 Security Brain监视和记录的攻击过程中,将从链接下载的“安装包”用C#语言编写,并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自己,Telegram合法软件签名Telegram FZ-LLC也被盗,但是从文件属性可以看出,该签名实际上是无效的。为了避免检测,程序中的大量敏感字符串也在运行时进行了Base64编码和解码。
此外,伪造的安装程序Trojan还将获取本地计算机的MAC地址,并匹配其携带的地址库(总共包含13,345个MAC地址)。如果在列表中,它将不会被感染。为了避免重复感染,该程序还将通过确认文件%LocalAppData%\ ASUNCB-dcBdklMsBabnDBlU的存在来确定当前计算机是否已被感染。如果确认已被感染,它将退出并自行删除,否则将创建文件并继续执行后续操作。然后访问URL hxxps:///确认网络可用,否则继续等待直到访问响应成功。
为使攻击过程顺利进行,木马通过修改注册表项值来降低系统的防御能力,从而使用户不知道攻击过程。然后从Telegram官方站点将普通的Telegram安装程序下载到目录%LocalAppData%,以管理员权限执行合法的安装程序,并完成安装程序包的原始工作。最后,创建两个bat文件%TEMP%\\ Action.bat和%TEMP%\\ Remove.bat,编写批处理命令并执行脚本。 Action.bat执行后续的攻击过程,Remove.bat完成自我删除。
秘密加载后门木马具有高度威胁
在这些脚本中,Get-Content.ps1作为最后执行的脚本,负责完成后门程序的发布和常驻操作。首先,脚本判断当前脚本执行环境是否具有管理员权限,如果有,则执行后续操作,否则,请尝试以管理员身份重新执行start.vbs。此外,该脚本将尝试绕过系统的UAC保护。成功绕过保护后,脚本准备释放后门dll,并且涉及的服务是termservice。
启动TermService服务后,将加载名为ServHelper的后门木马。该木马使用Delphi语言开发,通常为dll形式,并与PECompact打包在一起,以通过劫持RDP服务来完成其在受害者计算机上的驻留。此攻击释放的Trojan文件中的大多数敏感字符串都已加密,并且解密密钥为“ RSTVWVDJ”。
执行后,ServHelper将连接到C2:
hxxps:///figjair/b.php,根据收到的命令执行相应的操作。它总共支持32条命令:包括用户创建,文件下载,远程控制工具配置,键盘录制,会话通道控制和其他功能。解密后的字符串包含各种命令涉及的URL,注册表项,命令行,文件路径等。
有360名警卫用锋利的剑袭击并有目标地杀死
目前,借助360 Security Brain的强大功能,360 Security Guard和其他系列产品可以首先拦截并杀死此类木马威胁。同时,面对不断变化的木马威胁,360 Security Brain还为用户提供了以下安全建议,供用户安全下载:
1.用户在下载和安装软件时,可以先通过官方软件网站和360 Software Manager查找并安装它们,以免因不规则下载站点进行下载而造成恶意捆绑和故障。
2.受蓝屏影响的用户可以及时下载并安装360 Security Guard,以强行杀死此类病毒和木马。
3.提高安全意识,不要随意打开陌生人发送的各种文件。如果需要打开它,则必须验证文件后缀是否与文件名匹配。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-370952-1.html
……