Telegram bot adatlopásra
Az ANY.RUN esettanulmánya egy olyan adathalász kampányt vizsgál, amelyben a támadók Telegram botokat használnak adatlopásra. A kampány során a támadók olyan hamis weboldalakat hoznak létre, amelyek a Notion platformon keresztül működnek, és céljuk, hogy a felhasználókat megtévesszék, hogy megadják Microsoft-fiókadataikat. A bejelentkezési adatok begyűjtése után a felhasználók IP-címeit is rögzítik az ipify szolgáltatás segítségével. Az összegyűjtött adatokat ezután Telegram botokon keresztül továbbítják a támadókhoz, kihasználva a platform API-ját.
A kampány jellemzői közé tartozik az alacsony műveleti intenzitás és az egyszerű eszközkészlet használata. A támadók ingyenes platformokat, például Notion, Glitch, Google Presentation és RenderForest, használnak a hamis tartalom tárolására. A védekezési mechanizmusok minimálisak; a felhasználókat a hitelesítő adatok megadása után a valódi Microsoft bejelentkezési oldalra irányítják át, hogy fenntartsák a hitelesség látszatát.
Az ANY.RUN elemzése során sikerült azonosítani a Telegram botokat, amelyeket a támadók az adatok behatolására használnak. A kutatók alkalmazták a korábban kidolgozott üzenetelfogási technikát, amely lehetővé teszi a Telegram botokon keresztül továbbított üzenetek elfogását és elemzését. Ez a módszer segít a fenyegetés részletesebb megértésében és a támadók profilozásában.
A kampány célpontjai elsősorban az Egyesült Államokban és Olaszországban találhatók, és a támadók különféle e-mail szolgáltatók, például Office365, Outlook, Rackspace, Aruba Mail, PEC és Altra Posta, felhasználóit célozzák. A támadók kihasználják a Telegram botok egyszerű használatát és az API hozzáférhetőségét, hogy gyorsan és hatékonyan gyűjtsenek be érzékeny adatokat.