Zi 字媒體

【追溯】冒充最高檢網路電信詐騙

2021/12/25

轉自：烏雲知識庫/FreeBuf/網路小捕快（ID：hack_qh）

0x00 引子

詐騙，跟生物的歷史一樣長，而且永遠都會存在。每當人類拓展出一片新的生存環境，詐騙也立即隨之而來生根發芽。如今，有了網路，由於不受地域和時間的限制，詐騙更能玩得花樣百出，讓人嘆為觀止，挑戰的只有人的想像力，360天眼實驗室的前一篇文章分析的巧妙操縱受害者的電信補卡攻擊即為一例。但是，不管方法手段如何，利用的始終都是人性的弱點：恐懼和貪婪。

貪婪會讓你相信香港富商的漂亮妻子竟能出來借腹生子，所以也就有了成語利令智昏。而恐懼的威力則更為強大，特別是來自最高檢查院的可能直接威脅人身和財產安全的問罪，沒錯，今天給大家揭露的就是當前最火的冒充最高檢的財務詐騙。

0x01 問題有多嚴重

讓我們看看就在前兩天剛發出來的一個新聞：

一年超100億錢流入台灣，最近就有被騙2000萬的。

注意，這些詐騙所得幾乎是純利，對比一下：國內整個安全市場也就百億的規模，純利可能都到不了那個數，這就能理解黑產為什麼會有那麼強的動機和能力，為什麼大陸警方會不遠萬里跑到非洲的肯亞去抓人。

看看大陸與台灣近期在人員管轄權上的過招，電信詐騙影響已經不僅局限於經濟領域，甚至開始對兩岸的關係造成影響。

詐騙犯怎麼做的呢，下面的新聞內容說了個大概：

下面，360天眼實驗室依靠威脅情報中心的數據向大家展示更多的細節。

0x02 基本套路

電信詐騙有很多套路，下面的這個流程只是其中之一，實際的過程往往比下面這些簡單的描述要狗血得多。

1、詐騙犯一般會從不法分子手中買入一些個人信息，對信息進行篩選，這可以理解為一個單方向的面試過程，當然，面試通過的話你就要倒霉了。

2、對篩選出來的目標通過如下這樣的網路傳真平台發詐騙簡訊，或者直接通過VOIP撥打詐騙電話。

3、通常的話術，詐騙犯一般會說你有一個快遞沒有收取或者其他的借口和你搭話，會告訴你身份證可能被人盜用，讓你去撥打公安局的電話。他會誘導你撥打114查公安局的電話，然後掛斷電話說待會公安局的警官會和你聯繫。之後，他們會用改號軟體改成114能查到的當地公安電話號碼來電，此時如果你用114查過號碼的話就會以為真的來自公安局。

4、好了，通過上面這步，基本的信任有了。對方會讓你去一個安靜的地方接聽電話，不能告訴任何人，然後會通知你一個案件編號，引導你去他們提供的假冒最高檢網站上去查詢你的案件信息。當然，你的所謂涉案法律文書早就為你準備好了，你一查詢就能看到。

5、到這兒，考驗智商和社會經驗的時候到了，你如果信以為真任由恐懼操縱，等著你的就會是個大坑。對方會指示你配合他們進行資產清查，就是讓你把銀行卡里的錢轉到所謂的安全賬戶。為了得到你的認證信息，對方會讓你去假冒的最高檢網站去填一個表格，當然會包括開戶行、銀行卡號、身份證號、銀行卡密碼和U盾密碼等。光認證信息還不夠，對方還會讓你下載一個什麼安全控制項（也就是定製過加了料的Teamviewer遠控服務端）運行。木馬運行以後會把登錄ID和密碼發送給對方，Teamviewer的程序打的有正常軟體公司的數字簽名，所以能很輕鬆的繞過殺毒軟體。

6、好了，對方這時既知道了你的銀行卡信息又能操縱你的電腦。接下來就得真的開始弄錢了，對方會讓你插上U盾，去用你之前填的銀行卡的信息去查看餘額幫你轉賬，當然會編個理由讓你不要看電腦屏幕。如果需要按U盾進行一次確認的話，對方會讓你按下U盾或者一直按著U盾的確認鍵來完成轉賬操作，這個過程中電話是一直不會掛掉且你會著了魔一樣全程配合，多麼奇妙的世界。

7、當所有的錢都轉賬成功后，他們會把電話掛掉，因為這個號碼是通過VOIP電話打的，所以你回撥過去也打不通，也找不到人。受害者就這麼苦逼的被騙得身無分文，有的受害者知道真相后，往往接受不了會輕生，這又真的是個殘酷的世界。

套路圖示如下：

詐騙團伙一般會有如下分工：

1、從購買的用戶信息中篩選出有價值的人，為詐騙者做鋪墊。

2、實施電話詐騙的人。

3、負責轉賬的人，他們需要在大陸買身份證和銀行卡，把現金迅速從一張卡轉到無數張卡中。

4、負責去取款機取錢的人。

5、提供詐騙工具的人，比如定製Teamviewer木馬、使用改號軟體和偽造檢察院的網站系統。

6、做免殺的人，一般是通過簽發正常的數字證書來逃避殺軟的檢測。

7、註冊域名和虛擬主機的人，因為域名很容易被殺毒軟體攔截，所以需要定期的更換域名和服務區，這些都是網站後台維護人員做的工作。

0x03 追溯

釣魚與恐嚇

查詢360威脅情報中心的黑URL 庫很容易就能在各種釣魚網站中發現我們關注的目標：中華人民共和國最高人民檢察院冒充網站。

打開網站會要求讓輸入一個案件編號：

進入之後，顯示一個和檢察院一模一樣的網站界面，不注意域名的話完全以假亂真。如圖：

詐騙犯會提示從這個網站上下載一個檢察院徽章圖標的所謂安全監控軟體，這個軟體其實是一個定製版本的Teamviewer服務端，其中預置了口令，受害者執行后，詐騙犯會找受害者要ID，受害者把ID告訴詐騙犯后，詐騙犯會去用Teamviewer輸入該ID和預製的口令連接到受害者的機器，受害者的機器就直接落入詐騙犯之手。軟體界面：

可以在Teamviewer的官網定製：

還有被木馬作者修改後的這種工具，被修改後的工具我們在後面詳細分析，讓我們再回到那個釣魚網站上來，運氣不錯，我們拿掃描器找到了後台管理界面：

這還不夠，我們還猜到了用戶名口令，其實不複雜：admin/admin888 。進去以後發現一個意外的小禮物，管理頁面被掛了利用CVE-2014-6332漏洞的馬，函數名童叟無欺：runmumaa，如圖。

下載看起來像Windows補丁的程序執行，連接 test.ko3c.com 做C&C通信，完成各種木馬功能。域名註冊信息如下：

域名和木馬我們就不分析了，有興趣的同學自己可以挖挖看。猜猜掛馬的目的是什麼？黑吃黑？搞非授權訪問的人？

再回過頭來看從後台我們能看到些什麼，看起來釣到了不少身份證號、銀行卡賬號和密碼：

這些數據是受害者從「網上清查」這個鏈接進入到一個頁面后填進去的：

除了釣魚得到的這些信息，更重要的是那些已經內置的數據，詐騙犯事先添加好的目標案件，包括案件名稱、編號、身份證號：

還有用身份證的頭像照片製作的假冒檢察院公文：

可能會有人好奇身份證頭像照片怎麼會在這個通輯令上？因為詐騙犯在拿到姓名、身份證號后，可以通過某些介面下載獲取不打網格的身份證頭像。在假冒最高檢網頁找到的受害者查詢自己是否「涉嫌犯罪」的入口地址為：，界面如圖：

輸入詐騙犯告之受害者的的案件編號和受害者身份證號，可以查詢是否真的被通緝。挺唬人的是不是？一般沒見識的真有可能嚇尿，更相信詐騙犯的話術，從而對他們進一步的指令言聽計從，因為裡面的涉及照片和名字還有身份證號，都是準確無誤的。

遠控木馬

我們檢查了從釣魚網站下回來的那個Teamviewer遠控，在360威脅情報中心的資料庫中通過文件名和圖標做關聯樣本分析，發現了一堆同源樣本：

其中一些帶了一個數字簽名：

如之前所說，這是一個被木馬作者修改和重新打包后的Teamviewer安裝包：

安裝成功后，安裝目錄下的所有的文件，其中包括Teamviewer的正常文件和木馬作者寫的執行後門功能的文件：

桌面的快捷方式指向StartTm.exe ：

該樣本會把同目錄下的StartTmSrv.exe帶參數（/install /silent）靜默運行起來，如圖：

而StartTmSrv.exe會運行起來同目錄下的Procuratorate.exe，會定時從下載更新文件，如圖為所提取的字元串，server-teamviewer.com域名為假冒的正常網站：

同目錄下的Procuratorate.exe運行起來後會載入同目錄下的LoadResource.dll，同時運行起來真正的teamviewer的服務進程tv_w32.exe和隱藏teamviewer窗口的進程hdnWnd.exe，然後該進程會去讀取同目錄下的配置文件main.ini中的serverip鍵值，把獲取到的teamviewer的ID、密碼和網卡的MAC發送到伺服器，下圖為配置文件指定的IP，和發送數據包到該IP的數據包截圖：