有骇客滥用Google搜寻，投放恶意广告散布冒牌Telegram安装程式，借此窃取加密货币钱包与上网应用程序帐密

骇客利用Google搜寻来误导使用者的情况，先前有攻击者滥用搜寻最佳化机制（Search Engine Optimization，SEO），让使用者下载恶意程式下载工具Gootloader，进而在受害电脑植入恶意软件。但最近有资安研究人员发现更为直接的做法：有人借着恶意广告散布冒牌的电脑版Telegram应用程序，但实际上，这是会窃取电脑多种上网应用程序个人资讯的间谍软件。

资安漏洞研究团队Suid Vulnerability Research于3月14日，公布一起借由投放Google广告的恶意广告攻击事件。研究人员在Google搜寻“电脑版Telegram（Telegram Desktop）”时发现，搜寻结果里的第2个广告很不寻常，但从相关的网站叙述与网址（telegramdesktop[.]net）来看，看起来很像真的由Telegram投放的下载广告。经过他们着手调查后发现，这实际上是冒牌的Telegram应用程序下载网站，使用者一旦没有留意，就可能以为是官方网站而受骗。

研究人员表示，除了上述的网域，攻击者还滥用另外2个类似的网域名称，包含了telegramdesktop[.]com，以及telegramdesktop[.]org。而其中的telegramdesktop[.]com，已经遭到Google安全浏览（Safe Browsing）标示为不安全的网站，他们也将另外2个网站通报Google。但究竟有多少人上当？研究人员表示，他们至少看到冒牌Telegram应用程序被下载了2,746次，其中的129个受害者还下载了第2阶段恶意程式。

而上述的这3个冒牌网站，其实都是复制合法的Telegram网站而来。研究人员指出，网页里大部分的连结也是连向Telegram合法网域（desktop.telegram.com），只是骇客将其中的Windows版本，置换成恶意程式。研究人员发现，攻击者把恶意软件与相关的工具，存放于程式码代管平台Bitbucket，他们亦循线找到骇客所使用的昵称和电子邮件信箱。

骇客建置的冒牌Telegram下载网站telegramdesktop[.]net中，总共提供了4种电脑版本的下载按钮，其中有问题的是Windows版本，下载网址（红字）是在Bitbucket网域；macOS与Linux版本则是Telegram官方提供的专属网址。而Windows版的官方下载连结是https://telegram.org/dl/desktop/win。

一旦使用者下载冒牌Telegram安装程式并安装，这个恶意程式便会开始连到C&C中继站，载入第2阶段的工具AZORult，这是一款间谍程式，2020年3月有骇客以提供武汉肺炎疫情仪表板为由散布。研究人员指出，这款间谍程式不只会偷取加密钱包，还会用户的地理位置资讯。此外，AZORult会窃取受害电脑的多款上网应用程序的资讯，包含了Chrome与Firefox浏览器存放的密码、FileZilla的账号及密码、Telegram的记录、VPN连线软件NordVPN与OpenVPN的账号与密码等。而针对Chrome浏览器，AZORult还会偷取浏览器的其他资讯，包含了Cookie、自动填入的资料，以及信用卡资料。

值得留意的是，由于骇客在第1、第2阶段的恶意软件中，针对Windows内建防恶意程式机制Antimalware Scan Interface（AMSI），加入了能绕过相关侦测的功能。换言之，这些攻击工具可能可以回避防毒软件侦测，而不被拦截。