Telegram 机器人在凭证外泄中的滥用激增
关键要点
- 根据最新研究,2021年至2022年期间,使用Telegram机器人进行凭证外泄的案例增加了八倍。
- Telegram机器人的使用并不新鲜,但过去不常被威胁行为者用来进行凭证钓鱼。
- 研究指出,增加的主要原因是当前流行的HTML附件发送方式和Telegram设置的便利性。
根据Cofense本周发布的一份,使用Telegram机器人进行凭证外泄的情况在2021年至2022年之间增加了超过八倍。虽然Telegram机器人用于外泄信息并不是什么新鲜事,但过去威胁行为者通常不使用它们进行。研究人员指出,这一显著增加主要与最新流行的利用HTML附件作为发送机制的策略有关,以及Telegram的设置极为简便。
报告中提到:“在2022年,使用Telegram机器人的隐蔽活动逐渐增加,进入了许多收件箱。这些活动中的大多数邮件都包含一个附加的HTML文件。这个HTML文件通常以硬编码和模糊化的方式嵌入了Telegram机器人的身份验证和位置,或者重定向到一个托管有钓鱼工具包的域名,其中包含了机器人的ID。”
2022年Telegram机器人滥用的增长(来源:Cofense)
“Telegram机器人就像科幻电影中的经典服务机器人,但它们是虚拟的,并在Telegram上运行。”Cofense的网络威胁情报经理JoeGallop在接受SCMedia采访时解释道。实际上,根据Telegram官网的官方定义,这些机器人可以支持“任何种类的任务或服务”,一些常见的功能包括回答用户的常见问题,转换文件格式,以及为用户设定提醒。
然而,“任何种类的任务或服务”的特性也吸引了威胁行为者恶意任务和服务。报告指出,为了外泄钓鱼信息,机器人只需接收受害者提交的文本,并通过Telegram聊天将其传送给威胁行为者。
Telegram关于如何创建机器人提供的官方指南(来源:Telegram)
实际上,威胁行为者设置机器人的程序和执行恶意活动的步骤只需三个简单步骤,且成本低廉。
首先,按照Telegram的官方机器人创建指南,威胁行为者在Telegram上给BotFather发送消息,创建机器人。
其次,他们使用Telegram机器人的唯一API端点(https://api[.]telegram[.]org/getUpdates)获取聊天ID,这是机器人与单用户或多个用户(在群聊中)之间聊天会话的标识符。机器人将在此聊天中传送被盗的凭证。
最后,威胁行为者将Telegram机器人的令牌和聊天ID嵌入到用于钓鱼活动的恶意脚本、程序或文件中。
以下截图是Cofense提供的恶意HTML文件中凭证输入表单的示例。“这个HTML文件将硬编码机器人的令牌和聊天ID,以便通过Telegram机器人的API进行身份验证,并将被盗信息传送到正确的位置。它还展示了最终结果是如何被传送到机器人和威胁行为者之间的聊天中的,”报告指出。
恶意HTML文件中的凭证表单及威胁行为者成功外泄凭证的视图(来源:Cofense)
Avanan的网络安全研究员Jeremy Fuchs表示,使用Telegram机器人进行凭证钓鱼是一种聪明的规避检测的方式。“利用HTML文件模
