Phishingový útok v Telegramu přes falešná hlasování: technický rozbor
Phishingové kampaně v Telegramu se často maskují jako online hlasování za účastníky soutěží, jako jsou dětské kresby. Uživatel obdrží zprávu s výzvou podpořit účastníka a odkazem na webovou stránku. Příklad: přechod na stránku stylizovanou pod soutěž, kde je nabízeno stisknout tlačítko „Přejít k hlasování“.
Tato stránka imituje legitimní proces: výběr účastníka ze seznamu, po čemž následuje přesměrování na mezilehlý URL. Finální etapa – phishingový formulář autorizace Telegramu, kde je nutné zadat číslo telefonu nebo naskenovat QR-kód.
Formulář vizuálně kopíruje rozhraní Telegramu, včetně vstupních prvků a tlačítek. Po zadání údajů dojde k zachycení přihlašovacích údajů, což umožní útočníkům zmocnit se účtu a použít ho k dalšímu rozesílání.
Technický řetězec phishingu
Útok je postaven na posloupnosti přesměrování a skriptů:
- Iniciace: Odkaz vede na hlavní stránku soutěže (např.
/rus-deti/5). - Zapojení: Výběr účastníka otevře mezilehlé přesměrování (např.
/rus-deti/c0zoJML). - Phishingový formulář: Otevře se falešná autorizace (parametrizovaný URL s tokeny, např.
/rus-deti/H3uwg4h?swfix=3).
JavaScript-skript (dlouhý hash v URL, např. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) dynamicky zpracovává vstup:
- Zpracovává události klávesnice a kliků.
- Maskuje formulář jako živé rozhraní.
- Odesílá data na backendové endpointy.
Data oběti se přenáší na subdomény:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
To zajišťuje sběr čísel telefonů, kódů potvrzení a sesijních tokenů.
Indikátory kompromitace (IOC)
Pro detekci a blokování použijte následující indikátory:
- IP adresy serveru:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- Podezřelé domény:
- risunki-sveta.space
- machine.sparkart-sun.shop
Tyto IOC umožňují nastavit pravidla v WAF, DNS filtrech nebo EDR systémech. Monitorování provozu na tyto adresy odhalí pokusy o přístup.
Metody ochrany pro vývojáře a administrátory
- Zkontrolujte URL před přechodem: doména neodpovídá web.telegram.org nebo t.me.
- Používejte dvoufázovou autentizaci (2FA) v Telegramu.
- Nastavte klientské skripty pro blokování známých phishingových domén.
V korporátním prostředí:
- Implementujte filtrování URL v proxy (např. přes Squid nebo Zscaler).
- Monitorujte logy na přesměrování s parametry hashů.
- Školte uživatele v rozpoznávání phishingu podle nesrovnalostí v UI (písma, odsazení).
Pro automatizaci: integrujte IOC do SIEM systémů (ELK Stack, Splunk) s pravidly na bázi YARA nebo Sigma.
Co je důležité
- Útok spoléhá na sociální inženýrství: důvěra v Telegram a emocionální háček „pomoz dítěti“.
- JavaScript činí formulář interaktivním, snižuje podezření; kontrolujte Network požadavky v DevTools.
- Zmocnění se účtu vede k řetězové reakci: rozesílání jménem oběti.
- Základní hygiena (kontrola domény) zabrání 90 % případů.
- IOC jsou aktuální pro okamžité blokování; aktualizujte seznamy černých domén.
— Editorial Team
Zatím žádné komentáře.