Volver al inicio

Phishing en Telegram: Análisis del Esquema con Encuestas

El artículo disecciona un esquema de phishing en Telegram disfrazado de encuesta de concurso. Describe la cadena de redirección, el rol de JavaScript y IOC para bloquear. Se proporcionan medidas de protección para desarrolladores.

Cómo Funciona el Phishing en Telegram mediante Encuestas
Advertisement 728x90

# # Ataque de Phishing en Telegram mediante Votación Falsa: Desglose Técnico

Las campañas de phishing en Telegram a menudo se disfrazan de votaciones en línea para participantes de concursos, como dibujos infantiles. El usuario recibe un mensaje que lo insta a apoyar a un participante junto con un enlace a un sitio web. Ejemplo: transición a una página con estilo de concurso que invita a hacer clic en el botón «Proceed to Voting».

Esta página imita un proceso legítimo: seleccionar un participante de una lista, seguido de una redirección a una URL intermedia. La etapa final es un formulario de autorización de Telegram falso que requiere ingresar un número de teléfono o escanear un código QR.

El formulario replica visualmente la interfaz de Telegram, incluidos los campos de entrada y botones. Después de ingresar los datos, las credenciales son interceptadas, lo que permite a los atacantes secuestrar la cuenta y usarla para una mayor distribución.

Google AdInline article slot

Cadena Técnica de Phishing

El ataque se basa en una secuencia de redirecciones y scripts:

  • Inicio: El enlace lleva a la página principal del concurso (p. ej., /rus-deti/5).
  • Interacción: Seleccionar un participante activa una redirección intermedia (p. ej., /rus-deti/c0zoJML).
  • Formulario de Phishing: Se abre una página de autorización falsa (URL parametrizada con tokens, p. ej., /rus-deti/H3uwg4h?swfix=3).

Un script de JavaScript (hash largo en la URL, p. ej., /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) maneja dinámicamente la entrada:

  • Procesa eventos de teclado y clics.
  • Disfraza el formulario como una interfaz en vivo.
  • Envía datos a endpoints del backend.

Los datos de la víctima se transmiten a subdominios:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

Esto permite la recopilación de números de teléfono, códigos de confirmación y tokens de sesión.

Indicadores de Compromiso (IOC)

Para detección y bloqueo, utilice los siguientes indicadores:

  • Direcciones IP de servidores:

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • Dominios sospechosos:

- risunki-sveta.space

- machine.sparkart-sun.shop

Estos IOC permiten configurar reglas en WAF, filtros DNS o sistemas EDR. Monitorear el tráfico hacia estas direcciones revelará intentos de acceso.

Métodos de Protección para Desarrolladores y Administradores

  • Verifique las URL antes de hacer clic: el dominio no coincide con web.telegram.org o t.me.
  • Active la autenticación de dos factores (2FA) en Telegram.
  • Configure scripts del lado del cliente para bloquear dominios de phishing conocidos.

En un entorno corporativo:

  • Implemente filtrado de URL en proxies (p. ej., mediante Squid o Zscaler).
  • Monitoree registros en busca de redirecciones con parámetros hash.
  • Capacite a los usuarios para reconocer phishing mediante inconsistencias en la interfaz de usuario (fuentes, espaciado).

Para automatización: integre IOC en sistemas SIEM (ELK Stack, Splunk) usando reglas YARA o Sigma.

Lecciones Clave

  • El ataque se basa en ingeniería social: confianza en Telegram y el gancho emocional de «ayuda al niño».
  • JavaScript hace que el formulario sea interactivo, reduciendo la sospecha; verifique solicitudes de Network en DevTools.
  • El secuestro de cuentas desencadena una reacción en cadena: distribución desde el nombre de la víctima.
  • La higiene básica (verificaciones de dominio) previene el 90 % de los casos.
  • Los IOC son actuales para bloqueo inmediato; mantenga las listas de bloqueo actualizadas.

— Editorial Team

Advertisement 728x90

Leer después