텔레그램 사용자 정책 위반 사칭 피싱 사이트-telegram-df(.)org(2024.10.22)

오늘은 텔레그램 사용자 정책 위반 사칭 피싱(Phishing) 사이트-telegram-df(.)org(2024.10.22)에 대해 알아보겠습니다.
최근에는 러시아 태생의 니콜라이 두로프(Николай Дуров, Nikolai Durov) 파벨 두로프 형제가 개발하여 2013년 8월에 iOS용으로 처음 출시 현재는 안드로이드,Windows,Windows Phone,리눅스,macOS,브라우저 까지 지원하는 메신저이며 뭐 보안이 좋다고 하지만 다 허점이 있으며 보안 메신저 들도 한 놈이 사고 치면 다 잡히게 되어져 있습니다.
일단 해당 텔레그램은 딥페이크(Deepfake) 때문에 문제가 되는 메신저입니다.일단 해당 텔레그램을 계정이 사용정책이 위반했다고 피싱 사이트로 유도를 하는 방식을 취하고 있습니다.
해당 피싱 사이트는 최근 전 세계적으로 유행하는 것 같습니다.

피싱 내용

[국제발신][텔레그램]사용자 본인인증을 진행해주세요. 로그인이 곧 만료됩니다. https://
[국외발신]텔레그램 사용정책 위반에 따라 계정이 비활성화 될 예정입니다.
12시간내로 본인인증을 완료해주세요.https://
입니다. 일단 PC(컴퓨터)로 접속을 했을 때는 QR 코드를 통해서 접속을 유도하고 
스마트폰 접속을 했을 때는 전화번호를 입력하고 있습니다.
일단 먼저 PC(컴퓨터)로 접속을 하면 다음과 같습니다.

탤레그램 피싱 사이트 메인 화면

Log in to Telegram by QR Code
Open Telegram on your phone
Go to Settings → Devices → Link Desktop Device
Point your phone at this screen to confirm login
휴대전화에서 텔레그램을 열어주세요.

설정->기기->데스크톱 기기 연결로 이동하세요.
휴대전화로 스캔하여 로그인을 승인하세요
라고 되어져 있으며 스마트폰으로 접속을 시도하면 전화번호 인증을 요구하면 개인적으로 전화번호 입력을 해보았는데 인증문자의 인증문자는 도착하지 않았습니다. 아마도…. 전화번호 수집이 목적이 아닐까 생각을 합니다.
그리고 QR 코드를 스캔하라고 해서 온라인에서 QR 코드 이미지를 읽어들이면 다음과 같은 주소를 확보할 수가 있습니다.
QR 코드를 읽어들이면 다음과 같은 내용을 확인할 수가 있습니다.

redirect(.)js 내용

tg://login?token=AQKcpBdnH(O)2GG9UbRDeY4Yf1fQ(e)gRZn(N)PlU0-f5OhLhh6w

그리고 redirect(.)js 를 보면 다음과 같은 코드가 있습니다.

const { pathname, hostname, href } = window(.)location;

if (pathname(.0)startsWith('/z')) {
  window.location(.)href = href.replace('/z', '/a');
}

if (
  (hostname === 'weba(0.)telegram(.0)org' || hostname === 'webz(.)telegram(.)org') && !localStorage.getItem('tt-global-state')
) {
  window.location.href = 'hxxps://web(.)telegram(.)org/a';
}

코드 분석

사용자의 현재 URL 정보를 활용하여 특정 경로 또는 호스트네임을 기준으로 리다이렉트(redirect)하는 동작을 수행
1. URL 정보 추출
window.location객체에서 pathname, hostname, href 정보를 추출
pathname:URL의 경로
hostname도메인 이름
href:전체 URL
2. 특정 경로(/z)로 시작할 때 리다이렉트
현재 페이지의 경로가 /z로 시작하면 해당 경로를 /a로 바꿔서 window.location.href 에 할당해 리다이렉트
사용자가 /z로 시작하는 경로에 접근했을 때 자동으로 /a 경로로 이동시키는 기능
3. 특정 호스트네임에 따른 리다이렉트 조건
현재 페이지의 호스트네임이 weba(.)telegram(.)org 또는 webz(.)telegram(.)org일 경우 
그리고 localStorage 에 tt-global-state 키가 저장되어 있지 않은 경우,
사용자를 hxxps://web(.)telegram(.)org/a로 리다이렉트
텔레그램의 특정 웹사이트에 접근한 사용자가 tt-global-state 가 없는 초기 상태일 경우,
기본 페이지(hxxps://web(.)telegram(.)org/a)로 이동시키기 위함

[브라우저 부가기능/파이어폭스 부가기능] - 악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

 

이렇게 차단을 하고 있는데 최소한 지난 시간에 Emsisoft Browser Security이라도 브라우저에 설치해서 실행하면 다음과 같이 Attention!
Website blocked!
이라는 메세지와 함께 미리 차단을 할 수가 있으니 좀 설치해서 사용하는 것을 권장하면 그리고 기본적으로 백신 입에 있는 피싱 사이트 차단 기능을 사용하는 것을 권장합니다.