App下载

手机扫描下载App客户端

返回顶部
分享到

黑客冒充Telegram简体中文翻译群组暗藏病毒 订阅用户已高达80万人 ... ...

黑灰产业 2022-4-23 00:15 3049人浏览 2人回复
摘要

开源通讯软件 Telegram 本身尚未支持简体中文,因此有热心网友提供汉化包安装后即可快速切换简体中文。不过这个简体中文汉化包团队早已停止继续维护,但没想到竟然简体中文汉化包和群组都能遭到黑客的利用。有黑客创 ...

开源通讯软件 Telegram 本身尚未支持简体中文,因此有热心网友提供汉化包安装后即可快速切换简体中文。

不过这个简体中文汉化包团队早已停止继续维护,但没想到竟然简体中文汉化包和群组都能遭到黑客的利用。

有黑客创建所谓的简体中文语言包但提供的语言包实际藏毒,然而对于用户来说想要分辨是否伪造难度较大。

这个山寨频道的订阅用户高达80万,最新发布的带有病毒的语言包浏览器量达 11 万次,中招用户估计不少。

希望各位仔细检查语言包频道:

真正的简体中文语言包维护频道是 https://t.me/zh_CN  因缺乏人员支持目前翻译工作已停止但语言仍可用。

此次投毒的语言包频道地址是 https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn  目前订阅用户是78万。

如果直接搜索的话可以发现大量山寨的语言包维护频道,因此投毒的可能比较多建议各位用户谨慎下载安装。

有网友分析后发现山寨频道提供的带毒版本是个下载器,运行后会下载各种模块并尝试绕过安全软件的检测。

如果你曾经在下面这类频道里安装过语言包请及时检查,最好使用安全软件全盘查杀以免存在其他安全隐患。


 TG 的汉化频道,入眼就是一个 com 后缀的可执行文件,下载下来分析了一下

Lgidzj.png

具体分析步骤就不赘述了,该文件为一个下载器,会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录,并在该位置通过快捷方式执行解压至文件夹 Tencente ,结果如图:

LgFtn1.png

解压后得到一套经典的白加黑文件,利用的是 2003 年的一个 Outlook 的程序

LgkkE6.png

除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析,通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截

该频道有近 80 万关注者,且内容及其具有迷惑性,距离文件发出已经过去了一个半月,想来中招的人不在少数,希望大家注意不要轻易下载未知软件,保证自身安全

评论
3049人参与,2条评论

精彩评论

查看全部评论>>

  • Powered by 安危情报站 X3.4 | Copyright © 2001-2021, 安危情报站. | 安危情报站
  • |