Telegram
Существуют десятки способов добраться до чужого аккаунта в Telegram. Мы не раз писали и про фишинг в Telegram Mini Apps, и про стилеры под видом обхода блокировок, и про мошенников-кадровиков, и про многие другие варианты. Сегодня расскажем про еще один способ угнать аккаунт в мессенджере — с помощью PowerShell-скрипта.
Скрипт с безобидным названием «Обновление телеметрии Windows» оказался инструментом для кражи сессий Telegram. Он умеет собирать данные с беззащитных компьютеров жертв и отправлять их злоумышленникам через Telegram-бот.
Недобрый скрипт со стилером внутри
Злоумышленники часто используют PowerShell-скрипты для скрытой загрузки вредоносных программ или кражи данных. На этот раз исследователи обнаружили на Pastebin скрипт, внутри которого под видом безобидного обновления Windows скрывался стилер, ворующий данные сессий пользователей Telegram для Windows и позволяющий злоумышленникам угнать аккаунт мессенджера без пароля и кодов доступа.
Что вообще такое PowerShell-скрипт? Это файл с набором команд для Windows, который позволяет автоматически выполнять последовательность действий на компьютере. По-простому — текстовый файл с инструкциями для компьютера, который нужен для того, чтобы компьютер сделал все сам за пару секунд вместо долгой ручной работы
Этот PowerShell-скрипт ворует данные сессий пользователей Telegram для Windows, позволяя злоумышленникам угнать аккаунт без пароля и кодов доступа
В скрипте исследователей сразу же привлекли токен бота Telegram и идентификатор чата в первых строках, а также неоднократное упоминание папки tdata, в которой Telegram для Windows хранит ключи авторизации для аутентификации пользователей на серверах Telegram. Если бот получит доступ к этой папке, злоумышленник сможет войти в чужой Telegram-аккаунт без облачного пароля и подтверждения по SMS. Доступ в таком случае сохраняется до момента, пока жертва не проверит активные сессии в приложении и не аннулирует подозрительные.
Как работает стилер
Стилер доставляется на компьютеры жертв под видом PowerShell-скрипта для обновления телеметрии Windows. В самом начале скрипт собирает данные: имя пользователя, имя хоста и публичный IP-адрес. После он проверяет наличие приложения Telegram Desktop на компьютере жертвы и, в случае успеха, принудительно завершает его работу, чтобы снять блокировку файлов.
Дальше дело за малым: скрипт архивирует все содержимое папки tdata в файл во временном каталоге пользователя, после чего отправляет архив злоумышленникам и удаляет его с компьютера, не оставляя никаких следов на устройстве жертвы.
Хорошая новость: вероятно, стилер еще не успел украсть ни один аккаунт — эксперты не нашли следов реальной отправки таких архивов. Скорее всего, исследователи обнаружили вредоносный PowerShell-скрипт на этапе тестирования прототипа.
Еще один довод в пользу этой версии — удивительный нейминг: обычно злоумышленники используют нейтральные имена для своих ботов и приложений, маскируя их деятельность. Здесь же на момент обнаружения исследователями бот скрывался под кодовым именем afhbhfsdvfh_bot с честным описанием: Telegram attacker. Исследователи заявили, что бот, вероятно, прошел функциональную проверку, но еще не был переведен на этап масштабного развертывания, — отсюда и такое рабочее название.
Как защититься от PowerShell-скриптов
В случае с этим неназванным стилером к защите нужно подходить комплексно. В первую очередь важно понимать, как PowerShell-скрипты вообще могут появиться на вашем компьютере. Чаще всего они попадают туда незаметно: через вредоносные вложения в письмах, эксплуатацию уязвимостей, зараженные программы или методы социальной инженерии. Поэтому рекомендуем установить на свое устройство надежную защиту и максимально осторожно работать со скачанными файлами, ссылками и сайтами.
- Не скачивайте все подряд. Внимательно выбирайте сайт, с которого хотите загрузить что-либо на свой компьютер. Доверяйте только проверенным ресурсам, куда точно не могут входить каналы в Telegram, чаты в Discord, сайты-однодневки и прочие подобные ресурсы.
- Не доверяйте вложениям и ссылкам в почте. Помните, что злоумышленники до сих пор активно используют почту для доставки вредоносной нагрузки. Они могут как напрямую отправить вам файл с PowerShell-скриптом, так и убедить перейти вас по ссылке, откуда этот скрипт может автоматически загрузиться на ваш компьютер.
- Регулярно обновляйте приложения и операционную систему. Уязвимости появляются внезапно, но, к счастью для пользователей, патчи к ним создаются очень и очень быстро. Поэтому мы рекомендуем обновляться регулярно и максимально оперативно, а чтобы переживать еще меньше — включить автообновление везде, где это возможно.
Не забывайте установить Kaspersky Premium на все устройства, где установлен Telegram. Наше приложение убережет вас от вредоносных программ и вложений, спама, фишинга, переходов на мошеннические сайты и прочих пакостей. А еще в подписку Kaspersky Premium входит менеджер паролей. Он для вас и сгенерирует надежный пароль, и надежно сохранит его, и не даст заполнить логин-пароль на поддельном сайте, и пригодится для усиления защиты Telegram, описанной ниже.
Как защитить свой аккаунт в Telegram
Что делать, чтобы защитить свой аккаунт в Telegram от подобных схем угона?
- Регулярно отслеживайте активность в Telegram. В конечном счете злоумышленникам нужны чужие аккаунты для организации рассылок и мошеннических схем. Поэтому стоит периодически проверять, не появились ли у вас в истории чатов новые диалоги или сообщения, которые вы не отправляли.
- Немедленно завершайте неопознанные сессии. Если вы подозреваете, что стали жертвой подобного стилера или других махинаций злоумышленников, как можно скорее завершите все сессии в Telegram: Настройки → Устройства → Активные сессии → Завершить другие сеансы.
Если ваш аккаунт в Telegram уже взломали, то у вас есть всего 24 часа для того, чтобы выкинуть угонщиков из аккаунта, завершив посторонние сеансы. Почему так — мы подробно рассказывали в материале Что делать, если взломали аккаунт в Telegram, перечислив в нем все способы восстановления доступа к своей учетной записи.
И точно не будет лишним усилить безопасность своего аккаунта. Во-первых, необходимо установить облачный пароль для Telegram в разделе Настройки → Конфиденциальность → Облачный пароль. Любой пароль не подойдет — нужен уникальный и криптостойкий, и для его создания рекомендуем прочитать наш пост Создаем незабываемый пароль.
А еще лучше перейти на ключи доступа (passkeys), беспарольную технологию с максимальной защитой от утечек и фишинга. Для настройки этого способа авторизации в Telegram перейдите в Настройки → Конфиденциальность → Ключи доступа. Хранить ключи доступа удобнее всего в Kaspersky Password Manager. Наш менеджер паролей кроссплатформенный, поэтому войти в Telegram с использованием сохраненного ключа доступа можно будет и на Windows, и на Android, и на iOS, и на macOS.
Как еще злоумышленники могут добраться до вашей учетной записи в Telegram и как защитить ее — читайте в наших постах:
Советы