仿冒Telegram网站进行RAT操作

一个伪装成下载恶意安装程序的合法网站的虚假 Telegram 网站。此安装程序滥用 Windows Defender 应用程序来执行 RAT 操作。下图显示了伪造的 Telegram 网站。

假冒网站将用户重定向到 Telegram 的官方网站，以下载 Android、iOS 和 macOS 等非 Windows 平台上的应用程序。但是，当用户选择要在 Windows 上安装的应用程序时，假冒网站会下载恶意图形 MSI 安装程序。

在执行 MSI 文件时，它使用正版MpCmdRun.exe文件执行 DLL 侧加载，并侧加载恶意文件mpclient.dll。MpCmdRun.exe是一个 Windows 防御组件，通常加载合法文件mpclient.dll。在这种情况下，威胁行为者已将合法的mpclient.dll替换为恶意文件。

加载的恶意DLL文件进一步读取一个名为upgrade.xml的文件，对其进行解密，并将代码注入%WINDIR%\System32\odbca32.exe以逃避检测。