基于搜索引擎的telegram钓鱼攻击手法总结(13)
时间:2023-03-18 23:36 来源:网络整理 作者:默认发布 点击:次
downloader在有道云笔记相关的分享链接下载加密的压缩文件 A.jpg 压缩文件下载到本地后,安装程序解压出被分割的恶意loader dll文件,本地拼接后白加黑将loader运行起来,再解密并动态加载之前释放出的加密的恶意动态链接库。 木马运行后通过添加防火墙规则、复制多个自身、添加计划任务等手段进行权限维持。 部分木马具有 “牺牲部分上线率来提升存活率” 的思想。以下案例中的恶意客户端在用户安装完毕后,并不会完成木马的上线工作。而是将用户安装后的telegram的快捷方式修改为木马上线的命令行,用户在第一次运行假冒telegram的时候才会将恶意木马解压运行起来。 木马多样性趋势。最初在了解范围内的木马基本无外乎 Cobalt Strike、大灰狼 这些传统远控(病毒特征码FatalRat、Zegost这些),后来有遇到过之前没有见过的websocket协议木马。 目前该攻击方式最常见的攻击目的即替换受害者剪贴板中的钱包地址实现盗币,但是在日常分析和其他分析报道中也能看到其他目的的攻击者。 |
- 上一篇:黑客正片高清在线观看
- 下一篇:请问网站维护不给提款一直审核中(一招教你挽回)