共计 1054 个字符,预计需要花费 3 分钟才能阅读完成。
</p/>
数以百万计用户使用 Telegram 进行安全即时通讯,然而在网络安全领域,该平台正暴露出黑暗一面。Cofense 最新报告显示,该平台备受关注的机器人功能正 被攻击者频繁滥用 ,成为高效的数据窃取 命令与控制(C2)中心 。
通过使用 合法的 Telegram Bot API,网络罪犯将简单的自动化账号变成窃取数据的“上帝视角”入口。
Telegram 提供的丰富 Web API 本意是帮助开发者构建自动化工具,但这些功能也被恶意机器人利用,可在私密聊天中发送消息,并将截图、窃取的凭证压缩包等文件 直接上传到攻击者设备 。
正如报告所指出: 攻击者经常将 Telegram 机器人作为一种数据外带渠道,借助的却是合法合规的服务接口。
2024 年第一季度至 2025 年第二季度期间,在被分析的所有恶意软件攻击活动中,约 3.8% 将 Telegram 作为主要 C2 基础设施;在凭证钓鱼攻击中,这一比例为 2.3%。
这种攻击手段的优势在于 极强的隐蔽性 。由于流量指向 api.telegram.org,很容易混入正常网络行为中,绕过基础防火墙检测。
攻击者通常通过三种方式滥用该 API:
- 直接脚本调用 :在受害主机上的恶意脚本直接发起 HTTPS 请求。
- 凭证钓鱼 :受害者在伪造登录页面提交信息后,立即将账号密码发送至机器人。
- 入侵提醒 :受害者点击恶意链接的瞬间通知攻击者, 实时监控攻击效果 。
外泄的数据不只是文本,攻击者还频繁使用 sendDocument 方法上传最大 50MB 的文件,其中通常包含 截图与存有被盗凭证的文本文件 。
为应对这种“合法接口滥用”,安全团队需关注特定 API 特征。大部分恶意请求具有固定格式:
hxxps[://]api[.]telegram[.]org/bot<token>/METHOD_NAME
需要重点监控的高频滥用方法包括:
sendMessage:用于外带文本数据与账号凭证sendDocument:用于上传大容量窃取文件getFile:用于攻击者从远程环境下载文件
如果企业业务 不使用 Telegram 机器人 ,报告建议采取简单但有效的措施: 直接屏蔽 Telegram Bot API 请求 ,对 api[.]telegram[.]org/bot 接口配置拦截规则。
与往常一样, 第一道防线仍是用户安全意识 。只要用户不与可疑消息、内嵌链接或恶意文件交互,任何机器人都无法窃取数据。
关于点小安 :点滴安全网站小编,专注 AI 安全攻防技术分享。
来源 :安全客
声明 :本文基于公开信息整理,观点仅供参考,不构成安全建议。
关注点滴安全(dripsafe.cn),获取更多 AI 安全资讯!
