一场通过 Telegram 传播的网络钓鱼活动正针对欧洲企业，利用 HTML 附件窃取用户凭证

Cyber 研究与情报实验室（CRIL）近期发现了一场大规模、多品牌的钓鱼攻击活动。攻击者通过 HTML 邮件附件 窃取用户凭据，并成功绕过了传统基于 URL 和域名的安全检测机制。被窃取的数据会直接发送至攻击者控制的 Telegram 机器人，实现近乎实时的凭据收集，无需依赖传统的命令控制（C2）服务器。

“攻击者通过邮件分发 HTML 附件，由于未使用可疑 URL 或外部服务器托管，因此成功规避了常规安全检查，”CRIL 解释道。“嵌入的 HTML 文件运行 JavaScript 窃取用户凭据，并直接发送至攻击者控制的 Telegram 机器人。”

钓鱼手法与伪造界面

钓鱼邮件通常伪装成业务信函，例如报价请求（RFQ）或发票确认，诱使用户打开看似文档的附件。实际上，这些附件是独立的 HTML 页面，被精心设计成酷似合法的 Adobe 登录界面。

打开附件后，HTML 页面会加载模糊的发票背景，并在屏幕中央显示伪造的 Adobe 登录表单。受害者被提示输入电子邮箱和密码——这些数据会立即通过 JavaScript 发送至 Telegram 的 Bot API。

“页面执行 JavaScript 读取字段值并构造消息载荷……通过 HTTP POST 请求发送至 https://api.telegram.org/bot<BotToken>/sendMessage，其中 chat_id 和 text 字段包含窃取的凭据，”研究人员解释道。

提交后，页面会显示“登录无效”提示，以避免引起怀疑，防止用户察觉已遭入侵。

技术演进与防御规避

CRIL 分析了该活动的多个 HTML 样本，发现攻击者在混淆、加密和规避技术方面不断升级。其中一个样本通过 CryptoJS 库使用硬编码密钥实现 AES 加密，另一个则采用双重密码捕获机制，以“密码错误”为由诱使用户重新输入凭据。

“样本不仅收集电子邮箱和密码，还会捕获 IP 地址和用户代理信息，随后将数据泄露至 Telegram，”报告指出。“攻击者使用 jQuery 和外部 IP 服务（如 api.ipify.org 和 ip-api.com）获取受害者 IP 地址。”

第二个更高级的版本利用原生 Fetch API，并加入反取证防御措施，阻止受害者和分析师查看底层代码：

“该实现阻止 F12、Ctrl+U/S/C/A/X、Ctrl+Shift+I、右键菜单、文本选择和拖放事件，”CRIL 详细说明。“这会阻止受害者和分析师检查代码、查看源代码、复制内容或提取资源。”

这种混淆方式确保即使是经验丰富的分析师也难以提取机器人令牌或破译 JavaScript，使攻击更难被检测或破坏。

Telegram Bot API 作为核心泄露机制

Telegram Bot API 在此次活动中充当核心数据泄露机制，取代了传统基于 Web 的控制服务器。每个恶意 HTML 样本都包含硬编码的机器人令牌和聊天 ID，将凭据实时传输至攻击者的 Telegram 账户。

CRIL 的分析发现了由多个威胁行为者操作的去中心化活跃机器人网络，每个机器人管理自己的钓鱼活动集。

研究人员还注意到跨活动的基础设施复用证据：相同的机器人令牌出现在不同品牌主题的钓鱼模板中。例如，一个令牌关联 FedEx 主题样本，另一个则在 Adobe 和 WeTransfer 变体中重复使用。

目标品牌与区域分布

为最大化合法性和区域渗透，攻击者模仿了广泛的全球科技、物流和电信品牌。

最常被滥用的品牌包括：

1. Adobe、微软（Microsoft）、WeTransfer、DocuSign——模拟文档共享工作流；
2. FedEx、DHL——用于物流主题活动；
3. 德国电信（Telekom Deutschland）/T-Mobile、Roundcube——针对欧洲用户的区域特定钓鱼诱饵。

在中欧地区（包括捷克、斯洛伐克、匈牙利和德国），钓鱼邮件常模仿合法的 B2B 采购请求，使用母语术语和真实格式。

CRIL 的遥测数据显示，目前有数十个独特的 HTML 样本在传播，表明存在自动化钓鱼工具包，使攻击者能快速生成新变体。

攻击目标与行业影响

CRIL 确认，该活动主要针对中东欧，但也延伸至能源、制造、电信和政府部门。

“这种复杂且可扩展的凭据窃取攻击构成重大威胁，”CRIL 警告。“模仿可信品牌、针对特定受众、使用 Telegram 进行数据泄露，对全球组织构成低成本高影响的威胁。”