Panorama da campanha
Analistas identificaram alvos em países da Europa Central e Oriental (principalmente República Tcheca, Eslováquia, Hungria e Alemanha), com foco em setores que mantêm fluxos de procurement e compras (agro, automotivo, construção e educação). Os e-mails imitam solicitações comerciais e usam nomes de arquivo RFC‑compliant como RFQ_4460‑INQUIRY.HTML para parecer legítimos.
Vetor técnico e exfiltração
Os anexos são arquivos HTML auto‑contidos que reproduzem interfaces de login com aparência legítima. O JavaScript embutido captura campos (email, senha, IP, user‑agent) e envia os dados para endpoints da API do Telegram (api.telegram.org/bot) usando tokens e chat IDs codificados. Dois padrões foram observados:
- variante simples que utiliza CryptoJS AES para ofuscar os dados antes de enviá‑los, redirecionando a vítima posteriormente para domínios legítimos;
- variante avançada que implementa técnicas anti‑forense no cliente (bloqueio de F12, Ctrl+U/Right‑click) para dificultar análise e inspeção do código.
Indicadores e mitigação
Indicadores acionáveis incluem tráfego POST para api.telegram.org originado de estações de usuários, presença de tokens de bot codificados em payloads e anexos HTML com scripts de exfiltração. Recomendações práticas:
- bloquear ou inspeccionar attachments HTML no gateway de e‑mail;
- implementar sandboxing para anexos desconhecidos e análise estática/dinâmica de HTML;
- procurar por atividade de POST para api.telegram.org em proxies/IDS e caçar retroativamente em logs;
- reforçar controles de MFA e política de senhas para conter abuso de credenciais colhidas;
- treinar equipes de procurement para verificar remetentes e anexos mesmo em solicitações operacionais.
Limites das informações
As análises descrevem o mecanismo de exfiltração via Telegram Bot API e as geografias afetadas, mas não quantificam o número total de credenciais colhidas nem os operadores por trás da campanha.
Fonte: Cyber Security News; análise técnico‑operacional disponível para equipes de defesa.