텔레그램 가짜 투표를 이용한 피싱 공격: 기술적 분석
텔레그램에서 피싱 캠페인은 종종 어린이 그림 콘테스트 참가자를 위한 온라인 투표로 위장합니다. 사용자는 참가자를 지지해 달라는 메시지와 함께 웹사이트 링크를 받습니다. 예: 콘테스트 스타일 페이지로 이동해 "Proceed to Voting" 버튼을 클릭하라는 안내가 나옵니다.
이 페이지는 합법적인 프로세스를 완벽히 모방합니다: 목록에서 참가자를 선택한 후 중간 URL로 리다이렉트됩니다. 최종 단계는 전화번호 입력이나 QR 코드 스캔을 요구하는 피싱 텔레그램 인증 양식입니다.
양식은 텔레그램 인터페이스를 시각적으로 그대로 복제하며 입력 필드와 버튼까지 포함합니다. 데이터 입력 후 자격 증명이 가로채여 공격자가 계정을 장악하고 이를 이용해 추가 배포를 진행합니다.
기술적 피싱 체인
공격은 리다이렉트와 스크립트의 연속으로 구성됩니다:
- 시작: 링크가 메인 콘테스트 페이지로 연결됩니다 (예:
/rus-deti/5). - 참여: 참가자 선택 시 중간 리다이렉트가 발생합니다 (예:
/rus-deti/c0zoJML). - 피싱 양식: 가짜 인증 페이지가 열립니다 (토큰 포함 매개변수화된 URL, 예:
/rus-deti/H3uwg4h?swfix=3).
JavaScript 스크립트 (URL에 긴 해시 포함, 예: /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js)가 입력을 동적으로 처리합니다:
- 키보드 및 클릭 이벤트 처리.
- 양식을 살아 있는 인터페이스로 위장.
- 백엔드 엔드포인트로 데이터 전송.
피해자 데이터는 다음 서브도메인으로 전송됩니다:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
이로 인해 전화번호, 확인 코드, 세션 토큰을 수집할 수 있습니다.
침해 지표 (IOC)
탐지 및 차단을 위해 다음 지표를 활용하세요:
- 서버 IP 주소:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- 의심스러운 도메인:
- risunki-sveta.space
- machine.sparkart-sun.shop
이 IOC를 활용해 WAF, DNS 필터, EDR 시스템에서 규칙을 설정할 수 있습니다. 해당 주소로의 트래픽을 모니터링하면 접근 시도를 포착할 수 있습니다.
개발자와 관리자를 위한 보호 방법
- 클릭 전에 URL 확인: 도메인이 web.telegram.org나 t.me와 맞지 않습니다.
- 텔레그램에서 2FA(2단계 인증)를 활성화하세요.
- 알려진 피싱 도메인을 차단하도록 클라이언트 측 스크립트를 구성하세요.
기업 환경에서:
- 프록시에서 URL 필터링 구현 (예: Squid나 Zscaler 활용).
- 해시 매개변수가 포함된 리다이렉트 로그 모니터링.
- UI 불일치(폰트, 간격 등)를 통해 피싱을 인지하도록 사용자 교육.
자동화: YARA나 Sigma 규칙을 사용해 IOC를 SIEM 시스템(ELK Stack, Splunk)에 통합하세요.
주요 요점
- 공격은 소셜 엔지니어링에 기반: 텔레그램에 대한 신뢰와 "아이 도와주기" 감정적 후크.
- JavaScript가 양식을 상호작용적으로 만들어 의심을 줄임; DevTools의 Network 요청 확인.
- 계정 장악이 연쇄 반응을 일으킴: 피해자 이름으로 배포.
- 기본 위생(도메인 확인)으로 90% 사례 방지.
- IOC는 즉시 차단 목적으로 최신 상태; 블록리스트를 지속 업데이트.
— Editorial Team
아직 댓글이 없습니다.