来自 资讯 2022-05-02 12:40 的文章

海外高防_青岛高防服务器_解决方案

海外高防_青岛高防服务器_解决方案

社交工程曾诱使Facebook用户下载伪装成Kik Messenger应用程序的高级持久威胁。

几个月前,防御ddos攻击路由器,我们的一位客户就他在Facebook Messenger上收到的奇怪消息与我们联系。这些信息来自于虚假的Facebook个人资料,这些资料属于漂亮但虚构的女性。这些女性鼓励他下载另一个聊天应用程序继续他们的对话。这位女士提到的聊天应用程序是间谍软件,伪装成Kik Messenger应用程序,通过一个非常令人信服的假网站分发。

在分析假Kik Messenger应用程序后,我们发现了间谍软件,ddos防御经验,或高级持续威胁(APT)。我们称APT为"诱人的雪松间谍软件"。我们深入挖掘了我们的档案,发现了属于几个假冒messenger和feed reader应用程序的APK,所有这些应用程序都包含相同的恶意模块。

在我们的分析过程中,我们还发现,我们的客户并不是唯一一个遇到诱人的Cedar间谍软件的人,不幸的是,许多人落入了陷阱。

诱人的Cedar间谍软件设计用于窃取联系人、通话记录、短信和照片等信息,以及设备信息,如地理位置,以跟踪移动,并能够记录周围的声音,包括受害者在手机射程内的对话。

根据伪造的Facebook个人资料和竞选基础设施的各种线索,我们相信诱人的Cedar间谍软件背后的人是黎巴嫩人。这场战役具有高度的针对性,在雷达的监视下进行。目前,Avast是检测到这一威胁的少数移动防病毒提供商之一。我们的检测结果是Android:SpyAgent YP[Trj]。

由于恶意软件对目标受害者的潜在影响,我们联系了执法机构,以帮助我们缓解威胁。

恶意软件是使用几个伪造的Facebook个人资料分发的。在与受害者(最有可能是年轻男子)进行调情对话后,攻击者提出将对话从Facebook转移到一个更"安全和隐私"的平台,在那里他们可以进行更亲密的互动。然后,攻击者向受害者发送了一个链接,这导致了一个网络钓鱼网站,该网站承载了一个可下载且恶意版本的Kik Messenger应用程序。受害者必须调整他们的设备设置,以安装来自未知来源的应用程序,然后才能安装假消息应用程序。这会给用户带来危险信号,但是,有时诱惑胜过安全。

一旦安装了恶意软件,它会立即连接到命令和控制(C&C)服务器

该间谍软件至少使用以下三个伪造的Facebook个人资料传播。我们对照片进行了模糊处理,因为用于伪造账户的照片是从真人那里偷来的:

需要注意的一点是,防御局域网ddos攻击,这三个女孩在Facebook上相互交流,也许是为了让他们的个人资料看起来更可信:

上图:攻击者如何说服受害者安装假的Kik Messenger应用程序的截图。

用于分发Kik Messenger应用程序恶意副本的网站chat-Messenger.site(185.8.237.151),一直运行到2017年春季,是一个非常有说服力的模仿者。

诱人的Cedar间谍软件被分成不同的模块,并带有特定的命令。有几个模块用于收集受害者的个人信息,包括联系人、照片、通话记录、短信,以及有关移动设备的信息,如地理位置、Android版本、设备型号、网络运营商、,和电话号码。

创建了其他模块以录制音频流或访问受感染设备的文件系统。

所有模块都带有命令:

间谍软件作为服务保留,并在每次重新启动后运行。

伪Kik应用程序包含相同的注入恶意类eighty9.guru和特定的rsdroid.crt文件使用属于C&C域的不同证书。

通过重复使用相同的rsdroid.crt证书名称,我们能够找到额外的C&C和数据过滤服务器

来自假冒APK的所有rsdroid.crt证书:

TCP端口2020上通信的恶意软件,但也值得一提的是,在端口443上还运行着一个C&C控制台,它有一个熟悉的证书主体通用名称-rsdroid。

C&C控制台允许攻击者实时跟踪他们的受害者。下图不包含任何数据,因为我们不想透露受害者的任何位置,但显示了诱惑雪松传播最广的地区:

使用开源工具很容易找到其他同名主机:

上图:关于C&C服务器主机的开源数据

我们创建了活动中使用的计算机基础设施的图像:

很难将持续威胁活动归为,就像这个,给网络罪犯。然而,一些信息表明,这场活动背后的网络罪犯是黎巴嫩人。

导致我们得出这一结论的第一条线索是攻击者的工作时间。我们在收到的SSH日志中只看到了大约30个登录。

在黎巴嫩的第二个星期天,我们发现有人在黎巴嫩的基础设施上使用了

但是

在星期六,有人在黎巴嫩的基础设施上使用了

的数据,而其他人则是用虚构的注册人数据注册的。

Chat-world.site是由杰克·佐格比(Jack Zogby)在黎巴嫩贝鲁特注册的。zogby@yandex.com

Network-lab.info由杰克·哈拉瓦尼注册,地址:黎巴嫩贝鲁特,杰克。halawani@yandex.com

在过去两年中,SSH登录来自黎巴嫩ISP的IP范围。(185.99.32.0/22、78.40.183.0/24)