홈으로 돌아가기

Telegram 피싱: 투표 수법 분석

이 기사는 콘테스트 투표로 위장한 Telegram 피싱 수법을 해부합니다. 리디렉트 체인, JavaScript 역할 및 차단을 위한 IOC를 설명합니다. 개발자를 위한 보호 조치가 제공됩니다.

Telegram에서 투표를 통한 피싱 작동 방식
Advertisement 728x90

텔레그램 가짜 투표를 이용한 피싱 공격: 기술적 분석

텔레그램에서 피싱 캠페인은 종종 어린이 그림 콘테스트 참가자를 위한 온라인 투표로 위장합니다. 사용자는 참가자를 지지해 달라는 메시지와 함께 웹사이트 링크를 받습니다. 예: 콘테스트 스타일 페이지로 이동해 "Proceed to Voting" 버튼을 클릭하라는 안내가 나옵니다.

이 페이지는 합법적인 프로세스를 완벽히 모방합니다: 목록에서 참가자를 선택한 후 중간 URL로 리다이렉트됩니다. 최종 단계는 전화번호 입력이나 QR 코드 스캔을 요구하는 피싱 텔레그램 인증 양식입니다.

양식은 텔레그램 인터페이스를 시각적으로 그대로 복제하며 입력 필드와 버튼까지 포함합니다. 데이터 입력 후 자격 증명이 가로채여 공격자가 계정을 장악하고 이를 이용해 추가 배포를 진행합니다.

Google AdInline article slot

기술적 피싱 체인

공격은 리다이렉트와 스크립트의 연속으로 구성됩니다:

  • 시작: 링크가 메인 콘테스트 페이지로 연결됩니다 (예: /rus-deti/5).
  • 참여: 참가자 선택 시 중간 리다이렉트가 발생합니다 (예: /rus-deti/c0zoJML).
  • 피싱 양식: 가짜 인증 페이지가 열립니다 (토큰 포함 매개변수화된 URL, 예: /rus-deti/H3uwg4h?swfix=3).

JavaScript 스크립트 (URL에 긴 해시 포함, 예: /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js)가 입력을 동적으로 처리합니다:

  • 키보드 및 클릭 이벤트 처리.
  • 양식을 살아 있는 인터페이스로 위장.
  • 백엔드 엔드포인트로 데이터 전송.

피해자 데이터는 다음 서브도메인으로 전송됩니다:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

이로 인해 전화번호, 확인 코드, 세션 토큰을 수집할 수 있습니다.

침해 지표 (IOC)

탐지 및 차단을 위해 다음 지표를 활용하세요:

  • 서버 IP 주소:

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • 의심스러운 도메인:

- risunki-sveta.space

- machine.sparkart-sun.shop

이 IOC를 활용해 WAF, DNS 필터, EDR 시스템에서 규칙을 설정할 수 있습니다. 해당 주소로의 트래픽을 모니터링하면 접근 시도를 포착할 수 있습니다.

개발자와 관리자를 위한 보호 방법

  • 클릭 전에 URL 확인: 도메인이 web.telegram.org나 t.me와 맞지 않습니다.
  • 텔레그램에서 2FA(2단계 인증)를 활성화하세요.
  • 알려진 피싱 도메인을 차단하도록 클라이언트 측 스크립트를 구성하세요.

기업 환경에서:

  • 프록시에서 URL 필터링 구현 (예: Squid나 Zscaler 활용).
  • 해시 매개변수가 포함된 리다이렉트 로그 모니터링.
  • UI 불일치(폰트, 간격 등)를 통해 피싱을 인지하도록 사용자 교육.

자동화: YARA나 Sigma 규칙을 사용해 IOC를 SIEM 시스템(ELK Stack, Splunk)에 통합하세요.

주요 요점

  • 공격은 소셜 엔지니어링에 기반: 텔레그램에 대한 신뢰와 "아이 도와주기" 감정적 후크.
  • JavaScript가 양식을 상호작용적으로 만들어 의심을 줄임; DevTools의 Network 요청 확인.
  • 계정 장악이 연쇄 반응을 일으킴: 피해자 이름으로 배포.
  • 기본 위생(도메인 확인)으로 90% 사례 방지.
  • IOC는 즉시 차단 목적으로 최신 상태; 블록리스트를 지속 업데이트.

— Editorial Team

Advertisement 728x90

다음 읽기