# # Ataque de Phishing en Telegram mediante Votación Falsa: Desglose Técnico
Las campañas de phishing en Telegram a menudo se disfrazan de votaciones en línea para participantes de concursos, como dibujos infantiles. El usuario recibe un mensaje que lo insta a apoyar a un participante junto con un enlace a un sitio web. Ejemplo: transición a una página con estilo de concurso que invita a hacer clic en el botón «Proceed to Voting».
Esta página imita un proceso legítimo: seleccionar un participante de una lista, seguido de una redirección a una URL intermedia. La etapa final es un formulario de autorización de Telegram falso que requiere ingresar un número de teléfono o escanear un código QR.
El formulario replica visualmente la interfaz de Telegram, incluidos los campos de entrada y botones. Después de ingresar los datos, las credenciales son interceptadas, lo que permite a los atacantes secuestrar la cuenta y usarla para una mayor distribución.
Cadena Técnica de Phishing
El ataque se basa en una secuencia de redirecciones y scripts:
- Inicio: El enlace lleva a la página principal del concurso (p. ej.,
/rus-deti/5). - Interacción: Seleccionar un participante activa una redirección intermedia (p. ej.,
/rus-deti/c0zoJML). - Formulario de Phishing: Se abre una página de autorización falsa (URL parametrizada con tokens, p. ej.,
/rus-deti/H3uwg4h?swfix=3).
Un script de JavaScript (hash largo en la URL, p. ej., /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) maneja dinámicamente la entrada:
- Procesa eventos de teclado y clics.
- Disfraza el formulario como una interfaz en vivo.
- Envía datos a endpoints del backend.
Los datos de la víctima se transmiten a subdominios:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
Esto permite la recopilación de números de teléfono, códigos de confirmación y tokens de sesión.
Indicadores de Compromiso (IOC)
Para detección y bloqueo, utilice los siguientes indicadores:
- Direcciones IP de servidores:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- Dominios sospechosos:
- risunki-sveta.space
- machine.sparkart-sun.shop
Estos IOC permiten configurar reglas en WAF, filtros DNS o sistemas EDR. Monitorear el tráfico hacia estas direcciones revelará intentos de acceso.
Métodos de Protección para Desarrolladores y Administradores
- Verifique las URL antes de hacer clic: el dominio no coincide con web.telegram.org o t.me.
- Active la autenticación de dos factores (2FA) en Telegram.
- Configure scripts del lado del cliente para bloquear dominios de phishing conocidos.
En un entorno corporativo:
- Implemente filtrado de URL en proxies (p. ej., mediante Squid o Zscaler).
- Monitoree registros en busca de redirecciones con parámetros hash.
- Capacite a los usuarios para reconocer phishing mediante inconsistencias en la interfaz de usuario (fuentes, espaciado).
Para automatización: integre IOC en sistemas SIEM (ELK Stack, Splunk) usando reglas YARA o Sigma.
Lecciones Clave
- El ataque se basa en ingeniería social: confianza en Telegram y el gancho emocional de «ayuda al niño».
- JavaScript hace que el formulario sea interactivo, reduciendo la sospecha; verifique solicitudes de Network en DevTools.
- El secuestro de cuentas desencadena una reacción en cadena: distribución desde el nombre de la víctima.
- La higiene básica (verificaciones de dominio) previene el 90 % de los casos.
- Los IOC son actuales para bloqueo inmediato; mantenga las listas de bloqueo actualizadas.
— Editorial Team
Aún no hay comentarios.