远控来袭：针对Telegram用户的金融窃密活动

keen-azure · 发表于 2021-4-26 14:37

概述近期，毒霸安全团队通过“捕风”威胁感知系统发现一批同类型的远控木马在Telegram进行钓鱼传播，并且诱饵大多是以"0股民精准"，"07出入款账单明细表"，"0中转银行卡信息核对"等金融、财务方面词语命名的伪装文档。同时在诱饵命名中也出现了"0资金中转USDT钱包地址信息核对表"这样和数字货币相关的词语。从去年10月份以来比特币一路高涨，连带其他数字货币也水涨船高，数字货币还具有一定的匿名性，对于木马控制者来说无疑是更加合适的窃取对象，因此这次钓鱼攻击很有可能也是木马控制者窃取数字货币的一次尝试。结合上述我们推测本次攻击目的是针对特定的Telegram用户的金融资产窃取。
诱饵信息

以"0资金中转USDT钱包地址信息核对表.exe"为例，该木马在运行后会从C&C服务器获取png图片，png内容和木马的文件名有一定的关联性，同时在受害机器上打开png图片来迷惑受害者。

该木马多个模块层层嵌套且多是内存解密加载，落地文件极少并会加密伪装成png文件。该木马的一些模块还会检查自身文件名规则是否正确，检测安全防护相关进程。同时该木马的远控协议灵活强大，通过注册表自启动和服务实现持久化，寄希望于长期驻留实现数据或资金窃取。

技术分析一、Load和伪装诱饵程序释放自身数据段携带的加密数据到本地%TEMP%目录下，并伪装成png文件。

下图是对伪装成png文件的解密算法，该木马各个阶段使用的解密算法相同。

在本地创建隐藏目录C:\$MSIRecycle.Bin，该目录伪装成回收站文件夹。

从C&C服务器"43.128.26[.]244"接收两个png文件，写入C:\$MSIRecycle.Bin目录下。通过VT关联发现该IP近期非常活跃关联到了多个恶意样本。

kb.png是真png，png内容和木马的文件名有关联性，并且木马会主动调用Windows照片查看器展示该图片。TY.png是假png，其中数据被解密后得到Server.Dat.dll，该dll内嵌一个被加密的远控模块(Xy.dll)，后续的远控功能都在Xy.dll。

二、C&C远控模块远控模块(Xy.dll)收集了受害主机的信息并发送到C&C服务器"52jiankang.bid"。被收集的信息包括系统版本、CPU数量和类型、内存OEM、硬盘使用情况、网络端口等等。木马控制者可以根据这些信息详细了解受害者的情况，针对性的进行下一步行动。

除了主机的硬件信息外，木马还可以接受远控指令收集剪贴板数据，键盘记录等。通过这两个操作实现窃取用户资料，获取有价值的数据甚至实现资金的窃取。

远控指令码和功能表该木马的远控功能很全面，包括了关机、键盘记录、执行指定cmd命令、加载C&C下发模块等操作。

三、屏幕监控模块该木马除了在远控模块收集主机信息外，C&C服务端"52jiankang.bid"还会下发一个屏幕监控模块(screen.dll)到受害主机。该模块负责监控受害者主机屏幕，通过Win32API获取屏幕位图数据，zlib压缩后发送截图数据到C&C服务器。
获取屏幕位图数据

全屏截图

总结该木马利用网络钓鱼传播，这是一种十分常见的网络攻击手法，但是在实际中仍然有很多人中招。一方面是受害者自身网络安全意识薄弱，网络安全知识了解不足；另一方面也是钓鱼的诱饵对受害者很有吸引力。因此面对频繁反复的钓鱼攻击大家要提高网络安全意识，对不明的邮件和文件做好确认，对工作电脑做好安全防护，及时安装杀毒软件，对可疑文件做好安全扫描。

IOC[MD5]F88EB5D6A69BE27271C6684AB1554BFBBAEC30327A2F8D185EA86B15FE13DEE141E88DC1E7DF507664D630DDA2AE5AEC4507949F59ED7F56AA2FC38548F44878E9701D41C9E9DB867AB1E3222E519FB6[C2]http://43.128.26[.]244:99/2021/0资金中转USDT钱包地址信息核对表.dbhttp://43.128.26[.]244:99/2021/20218031/kb.jpghttp://43.128.26[.]244:99/2021/20218031/TY.jpg180.117.101[.]18352jiankang[.]bid

夜泉 · 发表于 2021-4-26 15:58

金山毒霸不就是病毒吗？

zxkmm · 发表于 2021-4-26 23:22

这标题我还以为Telegram出现了金融漏洞呢。这不就是普通的钓鱼程序。

Mr丶Yang · 发表于 2021-4-27 09:41

你好，我们是社区送温暖的，请你聊聊你怎么上的telegram

星辰丿 · 发表于 2021-4-26 17:38

夜泉发表于 2021-4-26 15:58
金山毒霸不就是病毒吗？

不要引战

DC君 · 发表于 2021-4-27 02:52

超人强发表于 2021-4-26 15:58
和Telegram半毛钱关系都没有。群发里的各种exe病毒好吧

tg对广告几乎不限制，可以大量发，我就经常收到这种文件

圣泽 · 发表于 2021-4-26 15:05

想发财的鱼儿真多

xihawuzu · 发表于 2021-4-26 14:54

说是图片，后缀却是exe，说是文档，后缀却是exe，最起码的基本格式以及相对应可能的文件大小应该有所了解，见到这种直接远离

隔壁家的王二狗 · 发表于 2021-4-26 14:51

这不是360自己搞的病毒吧

vosdbk · 发表于 2021-4-26 14:41

哎, 可悲有这么多鱼可以钓

马甲下的蛋 · 发表于 2021-4-26 14:53

今天收到了这玩意

sohuso · 发表于 2021-4-26 15:13

是安装金山毒霸的时候了

超人强 · 发表于 2021-4-26 15:58

和Telegram半毛钱关系都没有。群发里的各种exe病毒好吧

xuangexingshao · 发表于 2021-4-26 16:23

钓鱼才是渗透快乐源泉

帐号		自动登录	找回密码
密码			注册[Register]

[转载] 远控来袭：针对Telegram用户的金融窃密活动

免费评分

个人中心