Cyberkriminelle nutzen Telegram-Bots zur Datenexfiltration

KnowBe4 ThreatLabs hat eine ausgeklügelte plattformübergreifende Phishing-Kampagne identifiziert und analysiert, die Telegram als primären Exfiltrationskanal nutzt.

Die Kampagne nutzt eine Kombination aus Phishing-E-Mails mit Sicherheitsthemen, Phishing-Webseiten mit Markenzeichen, um Anmeldeinformationen zu sammeln, und Telegram-Bots, um Daten zu exfiltrieren.

Aufgrund der technischen Analyse der Kampagne ist davon auszugehen, dass dieser Angriff als Teil eines Phishing-as-a-Service-Kits verkauft wird, das es verschiedenen Bedrohungsakteuren ermöglicht, dieselbe Infrastruktur zu nutzen, was bedeutet, dass er das Potenzial hat, zu einer weit verbreiteten Bedrohung zu werden. Da die Websites zum Sammeln von Anmeldedaten plattformunabhängig sind (sie geben sich als verschiedene bekannte Marken aus), geht man davon aus, dass das Ziel der Cyberkriminellen darin besteht, so viele Anmeldedaten wie möglich zu sammeln, anstatt auf bestimmte Dienste abzuzielen.

Zusammenfassung des Phishing-Angriffs

Vektor und Typ: E-Mail-Phishing
Primäre Techniken: Phishing-Hyperlinks, Impersonation, automatische Exfiltration
Ziele: Global
Plattform: Microsoft 365, Google
Umgehung der nativen und SEG-Erkennung: Ja

Die Kampagne wird in drei Phasen durchgeführt. Die ersten beiden imitieren das, was man bei einem typischen Angriff zum Sammeln von Anmeldeinformationen erwarten würde - mit einigen zusätzlichen Tricks, um die Opfer zu überzeugen und sie gleichzeitig widerstandsfähiger gegen herkömmliche technische Maßnahmen zur Abwehr der Angriffe zu machen.

In der ersten Phase erhalten die Opfer eine erste Phishing-E-Mail, die sich auf ein sicherheitsrelevantes Thema konzentriert, z. B. auf einen verdächtigen Anmeldeversuch.

Wenn sie dann auf den Hyperlink in der Phishing-E-Mail oder im Anhang klicken, werden die Zielpersonen auf eine Website zum Abfangen von Anmeldeinformationen geleitet, die sich dynamisch als eine Marke ausgibt, die mit ihrer Organisation verbunden ist. Im Hintergrund nutzt die Kampagne ein verteiltes Hosting bei mehreren Anbietern für diese Phishing-Websites mit schneller Domänenrotation, was die Infrastruktur widerstandsfähiger gegen Blocklisten macht.

In der letzten Phase werden die erbeuteten Anmeldedaten mithilfe konfigurierbarer Token und Chat-IDs direkt an von den Bedrohungsakteuren kontrollierte Telegram-Bots übertragen. Auf diese Weise können die Zugangsdaten in Echtzeit übermittelt werden, während sich Cyberkriminelle hinter der legitimen Infrastruktur von Telegram verstecken können, um innerhalb von Sekunden nach Erhalt der Zugangsdaten eine Kontoübernahme (ATO) zu initiieren.

Phishing-E-Mails mit Sicherheitsthemen nutzen die besten Absichten der Opfer gegen sie aus
Die ersten Phishing-E-Mails konzentrieren sich auf Cybersicherheitsthemen, wie z. B. unberechtigte Zugriffsversuche und Einstellungsaktualisierungen, um ihre Ziele sozial zu beeinflussen. Mitteilungen zu Sicherheitsthemen können ein Gefühl der Legitimität und ein entsprechendes Maß an Vertrauen bei den Zielpersonen erzeugen. Darüber hinaus können diese Themen auch ein Gefühl der Dringlichkeit erzeugen, sodass die Menschen schnell handeln, wenn sie glauben, dass ihre Konten - und Daten - potenziell gefährdet sind.

Wie im nachstehenden Beispiel zu sehen ist, soll der Text die Opfer durch die Androhung, dass Funktionen oder der Zugang abgeschaltet werden könnten, zu schnellem Handeln bewegen.

Phishing-E-Mail, die als Teil einer Kampagne zum Sammeln von Anmeldeinformationen versendet wurde, gemeldet über KnowBe4 PhishER

Da die E-Mails als Teil eines Phishing-Kits bereitgestellt wurden, variierte der Versandmechanismus je nach Cyberkriminellem, der den Angriff startete. Die Angriffe kamen von kompromittierten legitimen E-Mail-Adressen, was es den Angreifern erleichtert, die reputationsbasierte Erkennung zu umgehen, sowie von gefälschten Domains. Beide Taktiken können den Opfern auch ein falsches Gefühl der Sicherheit vermitteln, indem sie glauben, dass sie mit einem vertrauenswürdigen Absender kommunizieren.

Einige der Betreffzeilen, die bei dieser Kampagne beobachtet wurden, lauteten:

• E-Mail-Sperrungsmitteilung
• Konto-Sperrungsmitteilung
• Überprüfung der Deaktivierung für
• Ungewöhnliche Anmeldung erkannt für
• E-Mail-Sperrungsmitteilung für

Die Phishing-Hyperlinks sind in die E-Mails eingebettet (wie oben) oder in PDF-Anhängen enthalten. In beiden Fällen führt der Hyperlink zu einer Website, die zum Sammeln von Zugangsdaten dient.

Dynamisch mit Marken versehene Phishing-Webseiten
Um möglichst viele Zugangsdaten abzugreifen, verwenden die Webseiten einen dynamischen Marken-Mechanismus, der auf das Zielunternehmen zugeschnitten ist. Die Seite gibt sich als bekannte Marken wie Microsoft, Google und Adobe sowie andere aus, die mit dem Zielopfer in Verbindung stehen, und füllt dessen E-Mail-Adresse aus.

Website zum Sammeln von Zugangsdaten, die sich als Microsoft ausgibt, mit Quellcode, der dynamisches, auf den Empfänger zugeschnittenes Design, eine vorausgefüllte E-Mail-Adresse und mehrere Versuche zum Sammeln von Passwörtern zeigt.

Der Quellcode dieser Seiten offenbart ein ausgeklügeltes dynamisches Markensystem, das auf der Grundlage der Erfahrungen des Empfängers ein maßgeschneidertes Erlebnis schaffen soll. Das Kit verwendet eine JavaScript-Initialisierungsroutine, die organisatorische Informationen aus der E-Mail-Adresse des Opfers extrahiert, um das Erscheinungsbild des Anmeldeportals anzupassen.

Wie im Screenshot unten zu sehen ist, extrahiert der Angriff automatisch Domain-Informationen, ruft Markenelemente des Unternehmens ab und passt die Benutzeroberfläche dynamisch an die Erwartungen des Opfers an.

SQuellcode der Phishing-Webseite, der zeigt, wie JavaScript verwendet wird, um die Seite dynamisch an den Empfänger anzupassen, basierend auf (1) seiner Organisation und (2) seiner bevorzugten Sprache.

Das Kit implementiert außerdem ein fortschrittliches Browser-Erkennungssystem über die Funktion GetBrowserandLanguage(), das die Darstellung der Inhalte dynamisch an die Browser-Spracheinstellungen des Opfers anpasst. Durch diesen Lokalisierungsmechanismus werden Authentifizierungsformulare, Sicherheitswarnungen und Anleitungstexte in der bevorzugten Sprache des Opfers angezeigt, wodurch der Angriff deutlich legitimer erscheint.

Dieses maßgeschneiderte Erlebnis soll dem Opfer ein falsches Gefühl der Sicherheit vermitteln: Es ist wahrscheinlich mit dem benutzerdefinierten Design und dem automatischen Ausfüllen von Formularen vertraut, was bedeutet, dass es weniger wahrscheinlich ist, dass es erkennt, dass es seine Anmeldedaten auf einer Phishing-Website eingibt. Darüber hinaus stellen vorausgefüllte E-Mails in Formularen eine weitere Hürde dar, sodass die Zielperson weniger Zeit hat, ihre Handlungen zu überdenken, und die Cyberkriminellen auch sicher sein können, dass sie die Anmeldedaten von der Arbeit abrufen.

Exfiltration von Zugangsdaten über Telegram-Bots
Das auffälligste Element dieser Kampagne ist die ausgeklügelte Telegram-basierte Exfiltrationsarchitektur. Unmittelbar nachdem die Zielperson ihre Anmeldedaten auf der Phishing-Website eingegeben hat, implementiert der Angriff ein „Instant Session Capturing“-System, das die Daten über das Bot-API-Framework von Telegram an die Cyberkriminellen überträgt.

Diese Echtzeit-Exfiltration verschafft den Angreifern einen erheblichen operativen Sicherheitsvorteil. Wenn Anmeldedaten übermittelt werden, bündelt das Phishing-Kit das komplette Authentifizierungspaket (einschließlich E-Mail-Adressen, Passwörtern sowie Geo- und IP-Informationen) und sendet es über das Telegram-Benachrichtigungssystem direkt an das mobile Gerät des Angreifers. Dadurch wird eine nahezu sofortige Warnung erzeugt, die es Angreifern ermöglicht, kompromittierte Anmeldedaten innerhalb von Sekunden zu nutzen.

Die technische Implementierung nutzt die robuste API-Infrastruktur von Telegram, um einen widerstandsfähigen Befehls- und Kontrollkanal zu schaffen, der von der legitimen Infrastruktur und den Verschlüsselungsfunktionen von Telegram profitiert.

Screenshot des Quellcodes einer Phishing-Website, der zeigt, wie Cyberkriminelle(1) Anmeldedaten über (2 und 3) Telegram-Bots exfiltrieren.

Die Ausnutzung eines legitimen Dienstes als Teil eines Phishing-Angriffs ist eine bewährte Taktik - und das Threat Lab-Team hat in jüngster Zeit weitere Beispiele mit Microsoft-, Google- und QuickBooks-Diensten analysiert

Erkennung von Phishing-Angriffen zum Sammeln von Anmeldeinformationen
Wie bereits erwähnt, enthält die Kampagne zahlreiche Elemente, die ihr helfen, sich der technischen Erkennung zu entziehen und für die Ziele überzeugender zu wirken. Aufgrund ihrer weiten Verbreitung gehört die Umgehung herkömmlicher signatur- und reputationsbasierter Erkennungsmechanismen für Cyberkriminelle einfach zum Job - daher sind Maßnahmen wie das Versenden von kompromittierten Konten, wie sie in einigen der analysierten Angriffe aus dieser Kampagne zu sehen waren, immer häufiger. Darüber hinaus erhöhen Social-Engineering-Elemente wie die Verwendung von Themen aus dem Bereich der Cybersicherheit und dynamisch gestaltete Phishing-Websites die Wahrscheinlichkeit, dass ein Ziel zum Opfer wird.

Unternehmen wenden sich zunehmend integrierten Cloud-E-Mail-Sicherheitsprodukten (wie KnowBe4 Defend) zu, die KI nutzen, um fortschrittliche Phishing-Bedrohungen zu erkennen und Mitarbeiter daran zu hindern, mit bösartigen Hyperlinks und Anhängen zu interagieren. Darüber hinaus werden die Mitarbeiter durch bedrohungsbasierte Sensibilisierung und Schulung, einschließlich der Umwandlung echter Phishing-E-Mails in Schulungssimulationen (z. B. über KnowBe4 PhishER), über die Phishing-Angriffe aufgeklärt, mit denen sie am ehesten konfrontiert werden.

KnowBe4 Threat Lab
KnowBe4 Threat Lab ist auf die Erforschung von E-Mail-Bedrohungen und Phishing-Angriffen spezialisiert und nutzt dabei eine Kombination aus Expertenanalysen und Crowdsourced Intelligence.

Folgen Sie uns auf X: https://x.com/Kb4Threatlabs