Фишинговая атака на Telegram: как «голосование за ребёнка» ведёт к угону аккаунта через клоакер и сервис-воркер

Обнаружена фишинговая кампания, направленная на пользователей Telegram. Атака использует метод социальной инженерии: жертве приходит сообщение от знакомого с просьбой проголосовать за ребёнка в благотворительном конкурсе. Знакомый при этом перестаёт отвечать на дальнейшие сообщения, что является первым признаком компрометации его аккаунта.

Технический разбор показывает многослойную структуру атаки. Вредоносная ссылка ведёт на турецкий домен по протоколу HTTP. За безобидной голосовалкой скрывается PHP-клоакер, размещённый на свежей /24-подсети с гонконгской шелл-командой в WHOIS. Ключевой компонент — форк Telegram Web, который проксирует протокол MTProto, обеспечивая передачу данных через инфраструктуру злоумышленников. Финальным элементом выступает сервис-воркер, предназначенный для кражи пользовательской сессии.

Анализ показывает, что атака проходит путь от начального запроса (curl 403) до полного захвата аккаунта. Использование легитимных механизмов Telegram для обхода защиты указывает на высокий уровень подготовки операторов кампании. Пользователям рекомендуется с осторожностью относиться к сообщениям с просьбами о голосовании, даже если они поступают от знакомых, а также проверять URL-адреса и избегать переходов по внешним ссылкам в мессенджере.