远控肆虐,Telegram沦为"鱼池"

2020-12-24 来源:作者:

近期毒霸安全团队通过“捕风“威胁感知系统捕获一类新的钓鱼木马,该类木马在telegram群组中传播,通过命名成各种时政热点消息的标题或者更改图标伪装成正规软件,诱使用户点击。该木马执行后会驻留在用户系统目录下,通过注册表启动项进行持久化。在用户电脑上进行键盘监控、命令执行、插件调用等操作。调用插件通过c&c服务端返回数据反射式注入dll加载,无新文件落地。更容易绕过杀软的检测。一旦中招,用户的电脑对攻击者便是门户大开,危害极大。

诱饵名称如下表所示:


诱饵图标占比最高的是telegram的图标,如下图所示:


毒霸安全团队在近半年已经发现多起在telegram群组传播的木马,并有两篇相关的报告。

黄雀行动:针对东南亚博彩行业的新一轮钓鱼攻击

"伪装者"活动:针对Telegram特定用户的攻击

从攻击目标、技术手法上和上述报告以及安全友商披露的"金眼狗"、"金指狗"等针对博彩行业的黑客团伙存在较高的重合度。其中"伪装者"shellcode代码风格,反射式注入dll加载执行细节等都有一定的相似性,推测有可能为同一团伙。

这一波针对telegram群组传播的木马手段丰富,免杀方式采用白签名利用、DLL侧加载(白加黑),插件反射式注入避免文件落地,平台覆盖windows与Android,文件交互除了与c2之外还有放置在云盘(永硕云盘、七牛云等)中的。诱饵和文件名给其定性为一批华语黑产团伙。目前这几类木马仍在活跃中。


防护措施:

该样本家族更新频率十分频繁,长期在telegram群组中活跃。具有成熟的混淆技术,利用常用软件的图标以及热点标题名诱使用户点击。建议广大用户安装金山毒霸杀毒软件保护自己的信息安全。同时提高个人安全意识,不要执行在通讯软件中传播的可执行文件。下载软件时,尽量到官方网站或正规的第三方下载。

建议用户电脑上及时安装金山等杀毒软件,对预警的病毒及时清理。



样本概要:

该木马的pe信息显示着这是一个mfc4.2的程序。InitInstance函数重载为shellcode解密函数,中间穿插着大量花指令,在经过代码段多次解密后,木马申请了一段内存空间对shellcode进行加载。在加载前进行了最后一次解密,该解密是通过异常链解密shellcode,比较不同的一点是每次异常处理函数仅解密1字节,对于异常处理不够健壮的沙箱很容易执行失败。解密成功后传输受害机信息通知c&c端上线,进入远控模块。

样本执行流程如下图:


技术特点:

木马利用异常处理函数循环解密shellcode,每次异常处理函数仅解密1字节。