360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器高隐蔽性木马FakeTelegram粉墨登场 360安全卫士强力查杀铸就安防堤坝
- 2021-04-20 10:39:28
近日,360安全卫士团队接到用户反馈,其从Discord上下载的Telegram通讯软件疑似存在木马病毒,导致文件下载、在线聊天、键盘录入等操作都“有点不对劲儿”。经及时响应持续跟进,360安全卫士团队最终发现了一种伪装成Telegram通讯软件安装包进行攻击的病毒木马,并根据传播方式将其命名为——FakeTelegram。
披上Telegram马甲隐蔽性强
据悉,这种新型木马会下载合法的Telegram安装包进行安装,以掩盖暗中的恶意行为,并通过RDP服务实现驻留,然后伺机执行启动长期后门,记录键盘输入、扫描浏览器密码等操作,潜在威胁极大。不过,广大用户也无需过于担心,只需及时下载安装360安全卫士,便可在第一时间监测、查杀这种木马。
之所以说FakeTelegram威胁巨大,主要是基于其传播渠道的特殊性。根据360安全大脑的监测结果,该木马被托管于Discord CDN服务器。而Discord是一款主要面向游戏玩家的流行聊天通讯软件,用户量逐年增加。而且,由于向Discord上传的附件可被所有人下载,用户之间的文件分享和传输快速便捷等特点,同样也引起了网络犯罪人员的注意。随之而来的就是大量恶意软件被托管于Discord的CDN服务器以提供给木马远程下载。
潜踪匿影高段位攻击防御难度大
从360安全大脑监测和记录的攻击流程来看,从链接下载回来的“安装包”会使用C#语言进行编写,并通过程序图标伪装成Telegram安装程序的32位文件。为了更好地伪装自身,还盗用了Telegram合法软件签名Telegram FZ-LLC,不过从文件属性中可以看到该签名实际无效。为了躲避检测,程序中大量敏感字符串还进行了Base64编码,运行时才会解码。
而且,虚假安装包木马还会获取本地机器的MAC地址,匹配自身携带的地址库(共含13345个MAC地址),若在列表中则不进行感染。为了避免重复感染,程序还会通过确认文件%LocalAppData%\ASUNCB-dcBdklMsBabnDBlU是否存在来判断当前机器是否已被感染过,若确认已感染便会退出并自我删除,否则便创建该文件并继续执行后续操作。接着访问网址 hxxps://www.google.com/,确认网络可用,否则持续等待,直至访问响应成功。
为了攻击过程的顺利进行,木马通过修改注册表键值的方式降低系统的防御能力,让用户对攻击过程无感知。然后从Telegram官方下载正常的Telegram安装程序到目录 %LocalAppData% 下,以管理员权限执行合法安装程序,完成安装包原本的工作。最后,创建两个bat文件 %TEMP%\\Action.bat、%TEMP%\\Remove.bat,写入batch命令并执行脚本。Action.bat执行后续攻击流程,Remove.bat则完成自我删除。
暗中加载后门木马威胁程度高
在这些脚本中,Get-Content.ps1作为最后执行的脚本,负责完成后门程序的释放和驻留操作。首先,脚本判断当前脚本执行环境是否拥有管理员权限,有则执行后续操作,没有则尝试以管理员身份重新执行start.vbs。此外,该脚本还会尝试绕过系统UAC的防护。成功后绕过防护后,脚本开始准备释放后门dll,涉及到的服务为termservice。
TermService服务启动后,会加载一款名为ServHelper后门木马。该木马使用Delphi语言进行开发,通常以dll形式出现,并使用PECompact进行加壳,以劫持RDP服务的方式完成在受害机器上的驻留。此次攻击释放的木马文件中大部分敏感字符串均进行了加密,解密密钥为“RSTVWVDJ”。
执行后,ServHelper会连接C2:
hxxps://jfuag3.cn/figjair/b.php,根据收到的命令执行相应操作。其共支持32条指令:包括用户创建、文件下载、远控工具配置、键盘记录、会话通道控制等功能。解密出的字符串,含有各项命令涉及的URL、注册表项、命令行、文件路径等。
360安全卫士利剑出击定向查杀
目前,在360安全大脑的强势赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,面对诡诈多变的木马威胁,360安全大脑还针对用户安全下载,给出如下安全建议:
1.用户在下载安装软件时,可优先通过软件官网、360软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障。
2.受到蓝屏波及的用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马。
3.提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。
京公网安备 11000002000006号