資訊安全新知分享
NEITHNET 資安實驗室
Telegram是一個不論公司內部或是個人都被經常使用的跨平台即時通訊軟體。由於無法在設定中切換為中文介面,只能使用第三方語言包轉換,某些組織會利用創建相似於官方的網站並對其下廣告的方式,引誘他人下載包含木馬與後門的Telegram惡意程式以達到竊取資料的目的。除了使用不同的惡意程式的打包方式與工具並經常創建新的網站之外,也利用多種方式試圖避免被直接識別或是被爬取域名。
「telegram、tg、中文、中文版、中文化」等字詞的經常被作為關鍵字,為仿冒官方的網站投放廣告,但是也有少數跳過申請域名的程序或是對還未完全建構完的網站預先投放廣告的案例。
這些假網站一開始投放廣告的方式,可以從廣告上下方顯示的連結以及html原始碼直接觀察到並爬取網站域名。現在已經比較少見到這種直接對假網站下廣告的宣傳方式,而是會透過其他技術或者服務平台來躲避爬蟲程式並隱藏真正的網域,大致可以歸類為以下幾項:
1. 利用google的服務與平台
● youtube (youtube.com)
創建youtube頻道、更換頭像及封面、增加頻道說明,對創建的頻道或特定影片下廣告,並將假網站連結或惡意程式下載連結嵌於頻道介紹頁面、影片中或影片
說明欄中,誘使他人點輸入連結、點擊超連結後下載被加料的telegram程式或是連線到仿冒網站下載惡意程式。
● google api (googleapis.com)
存放被加料的telegram程式,並將指向程式的連結嵌於假網站或是假頻道中。
● google sites (sites.google.com)
存放仿冒官方網站的頁面,並將連結嵌於假造的youtube頻道中。
● google sites (sites.google.com)
使用url參數設定等功能試圖隱藏真正的連結。
2. 使用其他服務平台
除了以google sites作為假網站的平台,也會使用知乎專欄、blogspot、github等發布telegram推廣文章並嵌入下載連結,誘使他人下載。
3. 跳轉的使用
google sites的url重新定向(google.com/url?q=#/)以及302跳轉都被用在隱藏搜尋頁面上顯示的連結與假網站連結之間的關聯,
或將多個網域都導至同一個網域。
4. 測試網站與混淆用的網站
在測試新的技術或創建新的網站與頻道時,會將超連結導向telegram的官方網站或是選擇不嵌入連結作為混淆與掩護的手段,或放置這些頻道,或在一段時間後
將連結指向假網站與加料程式的下載連結。而這一段時間短則一兩日,長可至數月之久。也有觀察到部分連結導向apache等尚未完成架設的網站,並能觀察到
部分測試中的手法。
Telegram到目前為止還是只能通過語言包實現中文化,並且官方網站只有telegram.org的域名。避開廣告,並且注意廣告導向的連結便可以避免被引導至假冒官方的網站、避免下載與安裝帶有後門、木馬等加料的telegram程式。