Фишинговая кампания с Telegram-ботами: новые угрозы для Microsoft 365 и PEC
Источник: any.run
Фишинговая кампания с использованием Telegram-ботов: анализ новой угрозы
Недавний анализ одной из фишинговых кампаний выявил ключевые особенности, которые позволяют оценить методы и инструменты злоумышленников. Центральным элементом данной атаки стало использование ботов Telegram для сбора конфиденциальной информации жертв. В этом материале мы подробно рассмотрим, как устроена эта кампания, и какие риски она несет для пользователей.
Механизм фишинга и целевая аудитория
Злоумышленники создают поддельные фишинговые страницы, стилизованные под авторизационные формы популярных сервисов, таких как Microsoft OneNote и итальянская Posta Elettronica Certificata (PEC). Особенностью является размещение этих сайтов на платформе Notion workspaces, причем контент представлен на итальянском языке. Это указывает на чётко адресованную атаку против италоязычных пользователей.
Основной метод сбора данных — вредоносный JavaScript, который:
- снимает введённые пользователем учетные данные;
- отслеживает IP-адрес жертвы;
- напрямую передает информацию Telegram-боту злоумышленника.
Токен бота и идентификатор чата жестко прописаны в скрипте, что исключает необходимость использования промежуточных серверов и ускоряет передачу украденных данных.
Технические особенности и тактика злоумышленника
Инфраструктура кампании строится на упрощенных и бесплатных платформах, что снижает затраты и минимизирует внимание со стороны систем мониторинга. Частота фишинговых рассылок сравнительно низкая, что также помогает оставаться незамеченными.
Несмотря на внешнее сходство, в кампаниях встречаются вариации — злоумышленники маскируются под разные лица, однако базовый скрипт и функционал утечки остаются неизменными. Такой подход позволяет поддерживать разнообразие в ловушках, не усложняя сам механизм атаки.
Обфускация кода применяется в ограниченном объёме: изначально использовалось вложенное кодирование URL, но от более сложной техники, например Base64, отказались. Это говорит о том, что злоумышленники, возможно, ограничивают технические риски или не стремятся к высокой изощрённости.
Анализ угрозы и выводы
Хотя качество оформления фишинговых страниц оставляет желать лучшего, а методы обхода защиты достаточно примитивны, кампания продолжает функционировать с августа 2024 года, что демонстрирует устойчивый интерес злоумышленников к целям, связанным с сервисами Microsoft 365 и PEC.
Использование Telegram-ботов для управления атаками (C2-инфраструктура) обеспечивает удобство и эффективность для преступников, позволяя быстро получать украденные учетные данные и реагировать на происходящее в реальном времени.
Такая кампания представляет собой классический пример низкозатратной, но действенной фишинговой угрозы, которая благодаря простоте и целенаправленности способна нанести существенный ущерб. Эксперты рекомендуют обратить внимание на следующие меры безопасности:
- проверка URL и доменов перед вводом учетных данных;
- использование многофакторной аутентификации (MFA);
- обучение сотрудников и пользователей методам выявления фишинга;
- мониторинг активности и подозрительных подключений, особенно связанный с IP-адресами.
Выявленные характеристики кампании помогают специалистам по кибербезопасности формировать адекватные ответные меры и предупреждать потенциальные инциденты, связанные с данной угрозой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
