概述
天际友盟近几个月来发现大量钓鱼网站伪装成各类应用软件官网诱导国内用户下载恶意软件。这些钓鱼网站种类繁多,涉及办公软件、支付平台、游戏、短信验证平台等多类网站。通过分析,我们发现其中大量中文TG(Telegram)钓鱼站、以及一些涉及短信验证服务的网站如PaaSoo等传播同一类型的SiMayRAT远控木马新变种。SiMayRAT恶意软件家族从2022年开始出现,其功能包括远程控制、键盘记录、屏幕捕获、文件管理、系统监控和数据盗窃等。由于其功能的多样性和反检测的能力,该RAT经常用于各类攻击且很难被检测。SiMayRAT在2022年4月以后逐渐活跃,主要针对中文用户,一般通过钓鱼网站进行传播,利用热门应用程序的钓鱼网站,诱导用户下载安装恶意程序。此类恶意样本经常利用各种云服务来存储恶意负载,例如此次发现的样本大多使用某云笔记作为恶意代码的中转站。其样本使用TLS通信,混杂在正常的流量下载中,很难被杀软检测。从此次攻击可以看出,黑产团伙借助国内用户不能使用Telegram的契机,伪造大量TG的中文站点,诱使用户下载安装捆绑型恶意软件,用户下载的软件仍然可以执行正常功能,但其捆绑的恶意程序会在用户不知情的情况下偷偷安装,最终下载SiMayRAT远控木马。
利用手段
木马后门钓鱼攻击
利用工具
SiMayRAT
IOC
youdae.cn
sandipay.com.cn
sandipay.com.cn
tgelegrcem.cn
tglegrem.cn
telegrem.com.cn
sahdepay.cn
telegznm.cn
teleqrem.cn
7b92ec608b271d132ed1370622730cc7
2a4eebbd1e1d7672d80989f03e3bb7f9转载来源:https://redqueen.tj-un.com/IntelDetails.html?id=32aedd33694444318ba066fb05b61aab
图片来源网络目标可联系删除
