## Phishing-Angriff in Telegram über gefälschte Abstimmungen: Technische Analyse
Phishing-Kampagnen in Telegram tarnen sich oft als Online-Abstimmungen für Wettbewerbsteilnehmer, etwa Kinderzeichnungen. Der Nutzer erhält eine Nachricht, die ihn drängt, einen Teilnehmer zu unterstützen, inklusive eines Links zu einer Website. Beispiel: Übergang zu einer wettbewerbsoptimierten Seite, die zum Klicken auf den Button „Zum Abstimmen fortfahren“ auffordert.
Diese Seite imitiert einen legitimen Prozess: Auswahl eines Teilnehmers aus einer Liste, gefolgt von einer Weiterleitung zu einer Zwischenseite. Der finale Schritt ist ein Phishing-Formular für die Telegram-Authentifizierung, das die Eingabe einer Telefonnummer oder das Scannen eines QR-Codes verlangt.
Das Formular kopiert visuell die Telegram-Oberfläche inklusive Eingabefeldern und Buttons. Nach der Dateneingabe werden die Zugangsdaten abgefangen, sodass Angreifer das Konto übernehmen und es für weitere Verbreitung nutzen können.
Technische Phishing-Kette
Der Angriff basiert auf einer Kette von Weiterleitungen und Skripten:
- Auslösung: Der Link führt zur Hauptwettbewerbsseite (z. B.
/rus-deti/5). - Interaktion: Die Auswahl eines Teilnehmers löst eine Zwangsweiterleitung aus (z. B.
/rus-deti/c0zoJML). - Phishing-Formular: Eine gefälschte Autorisierungsseite öffnet sich (parametrisierte URL mit Tokens, z. B.
/rus-deti/H3uwg4h?swfix=3).
Ein JavaScript-Skript (langer Hash in der URL, z. B. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) verarbeitet dynamisch die Eingaben:
- Behandelt Tastatur- und Klick-Events.
- Tarnt das Formular als lebendige Oberfläche.
- Sendet Daten an Backend-Endpunkte.
Opferdaten werden an Subdomains übermittelt:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
Dadurch können Telefonnummern, Bestätigungscodes und Session-Tokens gesammelt werden.
Indikatoren für Kompromittierung (IoC)
Zur Erkennung und Blockierung nutzen Sie folgende Indikatoren:
- Server-IP-Adressen:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- Verdächtige Domains:
- risunki-sveta.space
- machine.sparkart-sun.shop
Diese IoCs ermöglichen die Konfiguration von Regeln in WAF, DNS-Filtern oder EDR-Systemen. Das Überwachen des Traffics zu diesen Adressen deckt Zugriffsversuche auf.
Schutzmaßnahmen für Entwickler und Administratoren
- Überprüfen Sie URLs vor dem Klicken: Die Domain stimmt nicht mit web.telegram.org oder t.me überein.
- Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) in Telegram.
- Konfigurieren Sie Client-seitige Skripte zum Blocken bekannter Phishing-Domains.
In einem Unternehmensumfeld:
- Führen Sie URL-Filterung in Proxies ein (z. B. via Squid oder Zscaler).
- Überwachen Sie Logs auf Weiterleitungen mit Hash-Parametern.
- Schulen Sie Nutzer, Phishing anhand von UI-Inkonsistenzen (Schriften, Abstände) zu erkennen.
Zur Automatisierung: Integrieren Sie IoCs in SIEM-Systeme (ELK Stack, Splunk) mit YARA- oder Sigma-Regeln.
Wichtige Erkenntnisse
- Der Angriff basiert auf Social Engineering: Vertrauen in Telegram und der emotionale Appell „Hilf dem Kind“.
- JavaScript macht das Formular interaktiv und mindert Verdacht; prüfen Sie Network-Anfragen in DevTools.
- Kontenübernahme löst eine Kettenreaktion aus: Verbreitung vom Namen des Opfers.
- Grundlegende Hygiene (Domain-Checks) verhindert 90 % der Fälle.
- IoCs sind aktuell für sofortige Blockierung; halten Sie Blocklisten auf dem neuesten Stand.
— Editorial Team
Noch keine Kommentare.