鑽石舞台

近日，微步在線情報局發現一個針對特定人群進行詐騙的黑灰產團伙。由於該團伙主要通過APP聊天的方式進行詐騙，因此將其命名為EvilChat組織。微步在線情報局對其手法及特點展開分析，具體分析如下：

EvilChat團伙通過特殊渠道獲得特定受害者的聯繫方式， 並且有一套完整的詐騙話術和流程，有較強的目標針對性和欺騙性；

2.1 電話通知入群

首先該團伙從境外打電話給目標人群（這次是某教育培訓機構的學員），告知因疫情原因無法進行培訓，可以加QQ群進行課程退費。受害者加入目標QQ群後，可以看到發布的群公告宣稱可以通過某金融APP辦理學費清退業務，並且管理員在群里不停的發送偽造的債權轉讓協議書和仿冒APP安裝註冊步驟。

2.2 受害者安裝仿冒APP

由於團伙精心挑選目標，受害者均為購買過課程的學員，退款非常符合受害者的場景且宣稱可以退回學費，便會輕信群公告中的說法。按照公告指示訪問APP下載鏈接，網站會通過獲取訪問設備UserAgent字段，最終導向不同系統的下載頁面。如果是電腦訪問，則顯示使用手機掃碼二維碼下載。

下載安裝後，根據指引需填寫邀請碼進行註冊（由於使用無效邀請碼無法完成註冊，這樣可以過濾掉通過其他渠道獲得APP的非目標人群）。註冊完成後的APP功能界面如下：、

2.3金融詐騙

在用戶完成註冊後，APP會彈出一條系統通知，告訴受害者需要向客服提交之前的繳費證據。通過APP自帶的聊天功能與團伙進行溝通，被告知需要提交當時的繳費證據以及真實的姓名和手機號碼，以下為提交偽造的繳費截圖以及偽造的身份信息：

提交信息片刻後，客服人員就根據受害者剛剛提交的金額、姓名和手機號信息偽造了所謂的"用戶資產登記後台"查詢記錄的截圖，提示受害者確認信息。

確認完成後，客服給出了此次詐騙的核心話術（畢竟是辦理退款怎麼反而讓受害者交錢）:想要退款，只能通過購買證券理財產品增值的方式進行， 而購買理財是為了保證資金鍊不斷，退款能進行下去，聽起來非常合理。

隨後客服給出了不同額度的退款方案以及詳細解釋，並告訴受害者退款有次數限制，引導受害者選擇大額的退款方案。

受害者認同該方案後，客服會告知購買理財產品需要通過銀行轉賬的方式進行。當受害者詢問收款賬戶後，客服會假裝向系統申請回款訂單，將看似比較可信的銀行收款賬戶圖片發給用戶。並在賬戶下備註訂單時限10分鐘，暗示受害者快速完成轉賬。

後經查知，該賬戶屬於黑灰產三件套中的銀行賬戶，屬於EvilChat團伙購買進行資金轉移的資產。至此，整個詐騙過程結束。

3.1 資產特點

對惡意APP使用的相關資產分為3個部分進行分析， 分別為下載域名， APP主頁域名和 APP聊天域名。

Ø下載域名

對詐騙團伙給的兩個下載鏈接（65gtr.org/xWyj.app, 54saw.org/xWyj.app）進行分析發現，下載域名會直接解析到CDN IP上或CNAME到CDN的調度域名，並且APP使用隨機生成的4位字符.app的形式進行訪問（此仿冒軟件為xWyj.app）。

通過以上特點，對相關域名進行拓線分析，發現了大量的域名都可以使用xWyj.app的URI訪問到該仿冒軟件的下載頁面，並且使用其他隨機4位URI可以訪問到不同的APP下載頁面。

博彩

色情

仿冒

ØAPP內主頁域名

1. APP內主頁域名屬於無規律域名(俗稱DGA域名)，有多種形式，如單純的數字，隨手敲的字母組合，字母數字組合和隨機生成固定形式等，使用的頂級域名有com, vip, xyz, cc, space, online等，部分域名如下圖所示：

2. 為管理生成的大量DGA域名並保證域名解析到指定的詐騙界面，該組織通過將DGA域名CNAME到以8個隨機字符.3個隨機字符-5個隨機字符.com為形式GoDaddy域名上（如puwclcis.jcn-4wznf.com），然後將該域名CNAME到方能CDN的調度域名上。

公益競猜

航空購票

網上商城

證券交易

色情軟件

刷單平台

ØAPP聊天域名

仿冒APP的聊天功能為APP的主要功能，在使用過程中會有大量的與聊天相關的請求流量，如用戶信息、聊天信息、平台信息等。

對聊天功能的資產進行拓線分析，發現聊天域名大多是以xyz為頂級域名的DGA域名。

3.2 溯源信息

發布詐騙信息的QQ群管理員中的群主信息：

其餘輔助發布的客服信息：

54saw.org

65gtr.org

jcn-4wznf.com

gzc-13kqr.com

dgh-soh8z.com

anu-wmqip.com

bzg-2jc8t.com

amz-x9evq.com

v0934vds0512.vekhi705.xyz934bvdvds.wc4nnt7.xyz