ble 研究与情报实验室(CRIL)的研究人员发现了一场大规模多品牌钓鱼攻击活动,该活动利用 HTML 邮件附件窃取凭据,绕过了传统基于 URL 和域名的检测系统。窃取的数据直接发送至攻击者控制的 Telegram 机器人,实现近乎实时的凭据收集,无需依赖传统命令控制(C2)服务器。
“攻击者通过邮件分发 HTML 附件,由于未使用可疑 URL 或外部服务器托管,成功绕过了常规安全检查,”CRIL 解释道。“嵌入的 HTML 文件运行 JavaScript 窃取用户凭据,并直接发送至攻击者控制的 Telegram 机器人。”
钓鱼邮件伪装成业务信函(如报价请求 RFQ 或发票确认),诱使收件人打开看似文档的附件。但该附件实为独立 HTML 页面,设计成酷似合法的 Adobe 登录界面。
打开后,HTML 页面加载模糊的发票背景,并在屏幕中央显示伪造的 Adobe 登录表单。受害者被提示输入电子邮箱和密码——这些数据会立即发送至 Telegram 的 Bot API。
“页面执行 JavaScript 读取字段值并构造消息载荷……通过 HTTP POST 请求发送至 https://api.telegram.org/bot<BotToken>/sendMessage ,其中 chat_id 和 text 字段包含窃取的凭据。”研究人员解释道。
提交后,页面显示“登录无效”提示以避免引起怀疑,防止用户察觉已遭入侵。
CRIL 分析了该活动的多个 HTML 样本,发现其在混淆、加密和规避技术上不断升级。一个样本通过 CryptoJS 库使用硬编码密钥实现 AES 加密,另一个则采用双重密码捕获机制,以“密码错误”为由诱使用户重新输入凭据。
“样本收集电子邮箱、密码,捕获 IP 地址和用户代理,随后将数据泄露至 Telegram,”报告指出。“它使用 jQuery 和外部 IP 服务(如 api.ipify.org 和 ip-api.com )获取受害者 IP 地址。”
第二个更高级的版本利用原生 Fetch API,并加入反取证防御措施,阻止受害者和分析师查看底层代码:
“该实现阻止 F12、Ctrl+U/S/C/A/X、Ctrl+Shift+I、右键菜单、文本选择和拖放事件,”CRIL 详细说明。“这会阻止受害者和分析师检查代码、查看源代码、复制内容或提取资源。”
这种混淆确保即使是经验丰富的分析师也难以提取机器人令牌或破译 JavaScript,使攻击更难被检测或破坏。
Telegram Bot API 作为核心数据泄露机制,取代了传统基于 Web 的控制服务器。每个恶意 HTML 样本包含硬编码的机器人令牌和聊天 ID,将凭据实时传输至攻击者的 Telegram 账户。
CRIL 的分析发现了由多个威胁行为者操作的去中心化活跃机器人网络,每个机器人管理自己的钓鱼活动集。
研究人员还注意到跨活动的基础设施复用证据:相同的机器人令牌出现在不同品牌主题的钓鱼模板中——例如,一个令牌关联 FedEx 主题样本,另一个则在 Adobe 和 WeTransfer 变体中重复使用。
为最大化合法性和区域渗透,攻击者模仿了广泛的全球科技、物流和电信品牌。
最常被滥用的品牌包括:
- Adobe、微软(Microsoft)、WeTransfer、DocuSign——模拟文档共享工作流;
- FedEx、DHL——用于物流主题活动;
- 德国电信(Telekom Deutschland)/T-Mobile、Roundcube——针对欧洲用户的区域特定钓鱼诱饵。
在中欧(包括捷克、斯洛伐克、匈牙利和德国),钓鱼邮件常模仿合法 B2B 采购请求,使用母语术语和真实格式。
CRIL 的遥测数据显示,目前有数十个独特的 HTML 样本在传播,表明存在自动化钓鱼工具包,使攻击者能快速生成新变体。
CRIL 确认,该活动主要针对中东欧,但也延伸至能源、制造、电信和政府部门。
“这种复杂且可扩展的凭据窃取攻击构成重大威胁,”CRIL 警告。“模仿可信品牌、针对特定受众、使用 Telegram 进行数据泄露,对全球组织构成低成本高影响的威胁。”
发表评论
您还未登录,请先登录。
登录