Aufruf von api.telegram.org durch eine Website?

[Hellstorm]

Moin,

zusätzlich zu den üblichen Features und Listen in unserer Firewall sammle ich noch regelmäßig die Logs ein und prüfe diese gegen bekannte IOCs.
Dabei ist mir neuerdings in API-Aufruf zu Telegram aufgefallen. Genauer gesagt folgender API-Aufruf:
api.telegram.org/bot1234567890:ABCDEFGHIJabcdefghij/sendMessage (den Bot-Namen und API-Key habe ich maskiert).

Es gab auch nur einen einzigen Log-Eintrag. Der restliche Verlauf zum Client in der Firewall ist in Ordnung. Keine Auffälligkeiten. Auch der Client selbst ist unauffällig.

Gestern gab es noch einmal denselben Aufruf, aber von einem anderen User in einem anderen Teil der Organisationsstruktur.

Ich habe daraufhin mal die zuvor aufgerufenen URLs verglichen. Dabei sind mir zwei Stück aufgefallen, die verdammt ähnlich sind:
w*w.searchfury.com/de/20230507?slug=die-5-besten-su-vs-auf-dem-markt&utm_source=7**5&utm_source=taboola&utm_medium=referral&...
sowie
api.taboola.com/2.0/json/msn-windows-germany/recommendations.notify-click?app.type=bidder&app.apikey=...

Es sieht also sehr danach aus, als würde der Aufruf tatsächlich irgendwo über eine Seite oder dessen ganzes Ad-Gedöns erfolgen.

Haltet ihr es für möglich, dass tatsächlich einer dieser halbseriösen Werbeseitenbetreiber in irgendeiner Verlinkung tatsächlich die Telegram-API mit API-Key im html-code aufruft?

Der API-Aufruf ist mehr als dubios, aber alle Recherchen deuten darauf hin, dass es von einer Website kommt. Da diese natürlich hochgradig dynamisch sind, lässt sich sowas ja leider auch nicht ohne weiteres reproduzieren.

 

[Autokiller677]

Bei den Mengen an unkontrolliertem Code, die da in Werbebannern ausgeliefert werden, würde ich das nicht für unmöglich halten.

Meine Lösung wäre denke ich, einen PiHole (oder AdGuard) aufzusetzen. Keine Werbung mehr, deutlich weniger Risiken.

 

[SomeDifferent]

Letztendlich handelt es sich dabei ja nur um einen HTTP-Request. Dieser kann selbstverständlich irgendwo im JavaScript aufgerufen werden.

 

[Hellstorm]

Bei den Mengen an unkontrolliertem Code, die da in Werbebannern ausgeliefert werden, würde ich das nicht für unmöglich halten.

Meine Lösung wäre denke ich, einen PiHole (oder AdGuard) aufzusetzen. Keine Werbung mehr, deutlich weniger Risiken.

Das hat leider wieder den Nachteil, das einige Seiten dann ihren Dienst quittieren. Ob man da noch hinterher kommt, ist fraglich.

Letztendlich handelt es sich dabei ja nur um einen HTTP-Request. Dieser kann selbstverständlich irgendwo im JavaScript aufgerufen werden.

Ja, aber seit wann packt man seinen API-Key in abrufbare Websites?

 

[SomeDifferent]

Ja wahrscheinlich ist es dem Herausgeber der Webseite egal bzw. geht es nicht anders, wenn man die API ansprechen will.
Ich könnte mir vorstellen, dass die URL oder zumindest der API-Key im Quellcode verschlüsselt ist, sodass ihn 80% der Leute nicht finden.
Trackt man natürlich die URL-Aufrufe findet man ihn. Das hast du aber immer bei dieser Art der Authentifizierung.

 

[Hellstorm]

Ich hab' da jedenfalls mal in der Firewall einen Packet Capture Filter gesetzt. Sollte das also nochmal vorkommen, dann sehe ich hoffentlich auch, was da genau an Parametern gesendet wurde. Vielleicht werde ich ja dann schlauer.

So ist es halt doof, weil dieser sendMessage API-Call halt leider auch ein IOC sein kann.

 

[Hellstorm]

Der Packet-Capture-Filter den ich mir angelegt hatte, hat "Glücklicherweise" heute sogar gleich angeschlagen.
Damit war ich in der Lage, die ganze Kommunikation zu lesen. Es geschieht tatsächlich durch den Aufruf von searchfury/taboola. Demnach wie das da aussieht, wohl für Tracking oder Referrer-Analyse.

Da ich jetzt weiß, dass es kein Problem mit den Clients ist, werde ich die Seiten einfach blockieren. Das wird ja immer schlimmer mit diesem Werbe-Mist. Witzig nur, dass ich mit Hilfe des API-Keys Schindluder mit dem Bot treiben könnte. Aber wir lassen das mal.