从 2023 年 12 月开始,研究人员发现有攻击者创建虚假 Skype、Google Meet 和 Zoom 网站来进行恶意软件传播。攻击者为安卓用户投递 SpyNote 远控木马,为 Windows 用户投递 NjRAT 和 DCRAT 远控木马。
攻击行动概述
攻击者在单个 IP 地址上部署了所有的虚假在线会议软件网站,这些网站都采用俄语并使用与官方网站十分相似的 URL 部署恶意软件。攻击链如下所示:
攻击链与执行流程
用户访问某个虚假网站时,点击下载安卓应用程序会获得恶意 APK 文件,点击下载 Windows 应用程序会获得 BAT 文件。通过 BAT 文件,最终投递的还是远控木马。
Skype
首先发现的虚假网站是 join-skype[.]info,网站于 12 月初创建,旨在欺骗想要下载 Skype 的用户下载恶意程序。
虚假 Skype 网站
点击 Windows 后会下载一个名为 Skype8.exe 的文件,而 Google Play 则指向一个名为 Skype.apk 的文件,分析时这二者都无法下载了。Apple App Store 指向官网的下载链接,说明攻击者并没有针对 iOS 用户进行攻击的计划。
Google Meet
12 月下旬,攻击者又创建了另一个虚假网站 online-cloudmeeting[.]pro。该网站仿冒 Google Meet 的页面,应用程序文件部署在 online-cloudmeeting[.]pro/gry-ucdu-fhc/。该路径与 Google Meet 的加入链接类似,合法 Google Meet 邀请码通常都遵循 [a-z]{3}-[a-z]{4}-[a-z]{3} 的结构。
该虚假网站也提供了对 Windows 和安卓平台的下载链接。Windows 平台的链接指向一个名为 updateZoom20243001bit.bat 的文件,后续又下载名为 ZoomDirectUpdate.exe 的最终样本。ZoomDirectUpdate.exe 是一个 WinRAR 压缩文件,其中包含使用 Eziriz .NET Reactor 加壳的 DCRAT。
虚假 Google Meet 网站
Zoom
1 月下旬,研究人员发现了虚假 Zoom 网站(us06webzoomus[.]pro)。网站也使用与 Zoom 客户端生成的会议 ID 非常相似的路径,如 us06webzoomus[.]pro/l/62202342233720Yzhkb3dHQXczZG1XS1Z3Sk9kenpkZz09/。如果用户点击 Google Play 将会下载名为 Zoom02.apk,该恶意软件为 SpyNote 远控木马。与虚假的 Google Meet 网站类似,当用户单击 Windows 时,会下载一个 BAT 文件,而 BAT 文件又会下载 DCRAT。
虚假 Zoom 网站
开放目录
除了部署远控木马外,虚假的 Google Meet 和 Zoom 网站还对外提供了开放目录。开放目录中包含两外两个名为 driver.exe 和 meet.exe 的 Windows 可执行文件,均为 NjRAT。这些文件存在表明攻击者可能会在其他攻击活动中使用这些恶意软件,因为其名称各不相同。
其他恶意软件
结论
研究表明,虚假在线会议应用程序的威胁已经存在。攻击者分发 Windows 与安卓平台的远控木马,这些远控木马可以窃取机密信息和重要文件。随着网络威胁的不断演变和日趋复杂,保持警惕并采取积极措施来防范它们至关重要。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
