СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Новости
Артем
3 часа назад
#ИБ

Хакеры научились заходить в чужой Telegram без пароля и SMS

Хакеры научились заходить в чужой Telegram без пароля и SMS

Изображение: grok

Исследователи нашли вредоносный PowerShell-скрипт, маскирующийся под системное обновление Windows и крадущий сессии Telegram Desktop. Инструмент сканирует локальные файлы авторизации мессенджера, упаковывает их в архив и отправляет преступнику через Telegram-бота. Опасность подобной схемы в том, что украденные данные дают доступ к аккаунту вообще без SMS-кода и без ввода пароля.

На первый взгляд файл выглядит как заурядный системный скрипт с названием «Windows Telemetry Update». Расчёт мошенников строится именно на подобной маскировке. Пользователь видит знакомую формулировку про Windows и без проверки запускает файл. Дальше скрипт работает уже не как обновление, а как инструмент для извлечения данных Telegram прямо с компьютера.

Код выложили на Pastebin. Внутри лежал сценарий на PowerShell, который проверяет наличие папок с данными Telegram Desktop, собирает служебную информацию о системе, считывает имя пользователя и IP-адрес, а затем готовит архив с файлами сессии. Перед копированием данных скрипт убивает процесс Telegram, чтобы получить доступ к нужным файлам без помех.

Интересно, что злоумышленнику для входа в чужой аккаунт не нужны ни пароль, ни код из SMS. Достаточно просто украсть пару файлов сессии с компьютера жертвы.

Главная цель скрипта связана с папкой tdata. Внутри неё Telegram Desktop хранит данные, нужные для авторизации. Когда подобные файлы оказываются у постороннего, он переносит их на свой компьютер и открывает аккаунт без стандартного подтверждения входа. Для пользователя это оборачивается риском потери доступа к переписке, контактам и каналам.

На Pastebin исследователи нашли 2 версии инструмента. Различия между ними были заметные:

  • первая версия работала криво и не могла передавать файлы из-за ошибки в механике загрузки;
  • вторая уже была доработана с исправленной отправкой данных;
  • автор добавил обработку ошибок и довёл скрипт до рабочего состояния;
  • по правкам видна постепенная эволюция инструмента, а не случайная заготовка.

В обеих версиях обнаружили токен Telegram-бота и идентификатор чата прямо в тексте скрипта. Эта оплошность позволила изучить историю сообщений бота и наткнуться ещё на 1 инструмент того же автора. Второй продукт нацеливался уже не на Telegram Desktop, а на Telegram Web. Он работал через браузер и пытался выдёргивать данные авторизации из локального хранилища.

Оба инструмента крутились вокруг одного бота с именем afhbhfsdvfh_bot. Техническая логика у них немного отличалась. Версия для ПК отправляла архивы через API Telegram, а браузерный вариант передавал данные на локальный сервер и дополнительно слал короткие уведомления в чат. Объединяла их именно инфраструктура, а не общий метод работы.

В сообщениях из чата пока не видно следов массовой атаки на реальных пользователей. В отличие от атак обычных мошенников. Обстановка больше походит на тестирование. Запросы шли из одного браузера, ключи повторялись, а сервер для приёма информации сидел в локальной сети с адресом формата 192.168.x.x. Для масштабной кампании подобная конфигурация не годится.

Снижать тревогу из-за этого не стоит. Исправленная версия PowerShell-скрипта уже умеет отправлять архивы, а веб-инструмент способен вытаскивать сессионные данные из Telegram Web. Если автор нарисует более правдоподобную маскировку файла, перенесёт сервер в интернет или начнёт раскидывать скрипт через фишинговые письма, мессенджеры и файлообменники, тестовый проект быстро превратится в полноценную атаку.

Главный риск для пользователей упирается в захват входа в Telegram без привычного SMS-подтверждения. Сессионные файлы работают как уже выписанный пропуск в аккаунт, поэтому их кража опаснее обычной попытки подобрать пароль. Жертва может долго не замечать проблему, пока преступник не трогает настройки и спокойно читает переписку.

Особенно неприятно, что атака рассчитана не на хакерские навыки жертвы, а на банальную привычку запускать любые файлы со словом Windows в названии.

Самыми уязвимыми оказываются те, кто запускает неизвестные скрипты от имени пользователя или администратора, скачивает файлы с форумов, Pastebin, облаков и сомнительных инструкций по настройке Windows. Название уровня «обновление телеметрии» успокаивать никак не должно. Вредоносные инструменты часто прикрываются системными операциями, оптимизацией, драйверами, патчами и служебными утилитами.

При подозрении на запуск подобного файла стоит сразу действовать по короткому плану:

  • завершить все активные сеансы в настройках Telegram;
  • сменить облачный пароль аккаунта при его наличии;
  • включить двухфакторную защиту на входе в мессенджер;
  • проверить устройство антивирусным решением;
  • удалить неизвестные скрипты и подозрительные процессы из автозапуска.

Независимый ИБ-эксперт заявил редакции CISOCLUB: «Всё это наглядно показывает смещение атак на мессенджеры от подбора паролей к краже уже активных сессий. Для бизнеса подобный поворот выглядит особенно неприятно, поскольку Telegram часто служит каналом рабочих коммуникаций, обмена файлами и доступа к закрытым чатам. Организациям стоит донести до сотрудников простую мысль о том, что локальные файлы мессенджеров представляют собой ценный актив, а запуск неизвестных скриптов грозит не просто заражением компьютера, а прямым доступом посторонних к корпоративной переписке».

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: