APP下载

有骇客滥用Google搜寻,投放恶意广告散布冒牌Telegram安装程式,借此窃取加密货币钱包与上网应用程序帐密

消息来源:baojiabao.com 作者: 发布时间:2026-02-21

报价宝综合消息有骇客滥用Google搜寻,投放恶意广告散布冒牌Telegram安装程式,借此窃取加密货币钱包与上网应用程序帐密
图片来源: 

Suid Vulnerability Research

骇客利用Google搜寻来误导使用者的情况,先前有攻击者滥用搜寻最佳化机制(Search Engine Optimization,SEO),让使用者下载恶意程式下载工具Gootloader,进而在受害电脑植入恶意软件。但最近有资安研究人员发现更为直接的做法:有人借着恶意广告散布冒牌的电脑版Telegram应用程序,但实际上,这是会窃取电脑多种上网应用程序个人资讯的间谍软件。

资安漏洞研究团队Suid Vulnerability Research于3月14日,公布一起借由投放Google广告的恶意广告攻击事件。研究人员在Google搜寻“电脑版Telegram(Telegram Desktop)”时发现,搜寻结果里的第2个广告很不寻常,但从相关的网站叙述与网址(telegramdesktop[.]net)来看,看起来很像真的由Telegram投放的下载广告。经过他们着手调查后发现,这实际上是冒牌的Telegram应用程序下载网站,使用者一旦没有留意,就可能以为是官方网站而受骗。

研究人员表示,除了上述的网域,攻击者还滥用另外2个类似的网域名称,包含了telegramdesktop[.]com,以及telegramdesktop[.]org。而其中的telegramdesktop[.]com,已经遭到Google安全浏览(Safe Browsing)标示为不安全的网站,他们也将另外2个网站通报Google。但究竟有多少人上当?研究人员表示,他们至少看到冒牌Telegram应用程序被下载了2,746次,其中的129个受害者还下载了第2阶段恶意程式。

而上述的这3个冒牌网站,其实都是复制合法的Telegram网站而来。研究人员指出,网页里大部分的连结也是连向Telegram合法网域(desktop.telegram.com),只是骇客将其中的Windows版本,置换成恶意程式。研究人员发现,攻击者把恶意软件与相关的工具,存放于程式码代管平台Bitbucket,他们亦循线找到骇客所使用的昵称和电子邮件信箱。

骇客建置的冒牌Telegram下载网站telegramdesktop[.]net中,总共提供了4种电脑版本的下载按钮,其中有问题的是Windows版本,下载网址(红字)是在Bitbucket网域;macOS与Linux版本则是Telegram官方提供的专属网址。而Windows版的官方下载连结是https://telegram.org/dl/desktop/win。

一旦使用者下载冒牌Telegram安装程式并安装,这个恶意程式便会开始连到C&C中继站,载入第2阶段的工具AZORult,这是一款间谍程式,2020年3月有骇客以提供武汉肺炎疫情仪表板为由散布。研究人员指出,这款间谍程式不只会偷取加密钱包,还会用户的地理位置资讯。此外,AZORult会窃取受害电脑的多款上网应用程序的资讯,包含了Chrome与Firefox浏览器存放的密码、FileZilla的账号及密码、Telegram的记录、VPN连线软件NordVPN与OpenVPN的账号与密码等。而针对Chrome浏览器,AZORult还会偷取浏览器的其他资讯,包含了Cookie、自动填入的资料,以及信用卡资料。

值得留意的是,由于骇客在第1、第2阶段的恶意软件中,针对Windows内建防恶意程式机制Antimalware Scan Interface(AMSI),加入了能绕过相关侦测的功能。换言之,这些攻击工具可能可以回避防毒软件侦测,而不被拦截。

2021-03-19 16:49:00

相关文章