Telegram като команден център за фишинг

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Изследователи от Malwarebytes Labs разкриват поредна активна фишинг кампания, която използва добре познат, но все още ефективен трик – зловреден прикачен файл, представящ се за стандартна бизнес поръчка в PDF формат. Вместо реален документ обаче, файлът представлява HTML страница, която събира потребителски данни и ги изпраща директно към Telegram бот, контролиран от нападател.

Зловредният файл носи име от типа „New PO 500PCS.pdf.hTM“ – двойното разширение е ясен индикатор за измама, но в ежедневния поток от фактури, одобрения и поръчки подобен имейл може да изглежда напълно легитимен.

Как работи атаката – стъпка по стъпка

При отваряне на прикачения файл жертвата вижда прозорец за въвеждане на парола на фона на замъглено изображение. Докато потребителят се опитва да „отключи“ документа, скриптът във фонов режим вече събира:

  • IP адрес

  • Геолокация

  • User-Agent (информация за браузъра и операционната система)

  • Въведените имейл и парола

Всички тези данни се изпращат директно към Telegram бот.

След първия опит системата показва съобщение „Verifying…“ и информира потребителя, че паролата е грешна. Това е психологически трик – насърчава се втори опит, при който жертвата може да въведе алтернативна парола. Така нападателят увеличава шансовете си да получи валидни идентификационни данни.

При второто въвеждане потребителят не получава реален документ. Вместо това бива пренасочен към замъглено изображение на фактура, хоствано в ImgBB чрез домейна ibb[.]co. Използването на легитимна платформа за хостване допълнително намалява подозренията.

Защо Telegram се превръща в предпочитан канал за киберпрестъпници

Вместо да изпращат откраднатите данни по имейл или към сървър, който може да бъде блокиран от защитен софтуер, атакуващите използват Telegram бот като командно-контролен канал.

Telegram често не се блокира от организациите, тъй като се възприема като легитимна комуникационна платформа. Въпреки разпространеното мнение, че е напълно криптирана, стандартните чатове в Telegram не използват крайно криптиране по подразбиране. Това я прави удобна инфраструктура за:

  • събиране на откраднати данни

  • управление на зловреден софтуер

  • проследяване на жертви

  • координация на атаки

През последните месеци множество фишинг кампании използват именно Telegram като централен механизъм за управление.

Защо тази атака е опасна, въпреки „аматьорския“ си вид

Според изследователите, макар фишинг страницата да изглежда сравнително елементарна, моделът е изключително ефективен. Инвестицията за атакуващите е минимална, а всяка успешно открадната комбинация от имейл и парола може да доведе до:

  • компрометирани корпоративни акаунти

  • достъп до облачни услуги

  • злоупотреба с акаунти в Adobe Acrobat или други бизнес платформи

  • последващи по-мащабни атаки

  • продажба на идентификационни данни в дарк уеб форуми

Особено притеснителен е фактът, че жертвата може да остане в заблуда достатъчно дълго, за да не предприеме незабавна смяна на паролата или да не сигнализира ИТ отдела.

Как да се предпазим – практични препоръки

1. Проверявайте разширението на файла – .pdf.htm, .pdf.html и подобни варианти са класически фишинг индикатори.
2. Никога не въвеждайте парола за преглед на PDF документ в браузър.
3. Активирайте многофакторна автентикация (MFA).
4. Ограничете или наблюдавайте Telegram трафика в корпоративна среда.
5. Провеждайте регулярни обучения по киберсигурност за служителите.

Както предупреждават изследователите:


„Следващия път, когато ‘PDF’ файл поиска паролата ви в браузър, спрете за момент и помислете какво може да се крие зад него.“

Eвтин фишинг, реални щети

Тази кампания е още едно доказателство, че киберпрестъпниците не се нуждаят от сложен зловреден код, за да постигнат резултат. Достатъчна е комбинация от социално инженерство, легитимни облачни услуги и популярна комуникационна платформа като Telegram.

За бизнеса това означава едно – традиционните фишинг техники остават изключително актуални, а защитата трябва да бъде автоматизирана, многопластова и подкрепена от постоянна информираност на потребителите.

#Telegram бот, # зловреден прикачен файл, # киберсигурност, # кражба на пароли, # фишинг
e-security.bg

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy