Киберпреступники создали PowerShell-скрипт, который позволяет похищать активные сессии Telegram и получать доступ к учетным записям пользователей без ввода пароля и кодов подтверждения. Разбираем, как работает эта схема и какие меры помогут защититься.

Существует множество способов завладеть чужим аккаунтом в Telegram. Ранее мы уже рассказывали о фишинговых схемах через Telegram Mini Apps, стилерах, маскирующихся под средства обхода блокировок, мошенниках под видом рекрутеров и других популярных методах. Теперь появился еще один сценарий компрометации аккаунта — через вредоносный PowerShell-скрипт.

Скрипт, распространявшийся под названием «Обновление телеметрии Windows», на деле оказался инструментом для кражи Telegram-сессий. Он собирает информацию с компьютера жертвы и пересылает ее злоумышленникам через Telegram-бота.

Вредоносный скрипт под видом обновления

PowerShell-скрипты давно используются злоумышленниками для незаметной загрузки вредоносного ПО и хищения данных. В этот раз специалисты обнаружили на Pastebin скрипт, который выдавал себя за обновление Windows, но содержал встроенный стилер. Его задача — похищение данных сессий Telegram Desktop, что позволяет получить доступ к аккаунту без пароля и кодов подтверждения.

Что такое PowerShell-скрипт? По сути, это файл с набором команд для Windows, предназначенный для автоматического выполнения различных действий. Проще говоря, это текстовый файл с инструкциями, благодаря которому компьютер может выполнить за считанные секунды целую последовательность операций, которые вручную заняли бы значительно больше времени.

Данный PowerShell-скрипт нацелен на кражу данных сессий Telegram Desktop, открывая злоумышленникам возможность авторизоваться в чужом аккаунте без пароля и дополнительных подтверждений.

Особое внимание исследователей привлекли токен Telegram-бота и идентификатор чата, указанные в первых строках скрипта. Кроме того, в коде неоднократно упоминалась папка tdata — именно в ней Telegram для Windows хранит ключи авторизации, используемые для подтверждения личности пользователя на серверах мессенджера.

Если злоумышленник получает содержимое этой папки, он может войти в аккаунт без облачного пароля и SMS-кодов. Такой доступ сохраняется до тех пор, пока владелец учетной записи не обнаружит подозрительную активную сессию и не завершит ее вручную.

Принцип работы стилера

Вредонос распространяется под видом PowerShell-скрипта, якобы предназначенного для обновления телеметрии Windows. После запуска он сначала собирает базовую информацию о системе: имя пользователя, имя компьютера и внешний IP-адрес.

Затем скрипт проверяет, установлен ли на устройстве Telegram Desktop. Если приложение обнаружено, его работа принудительно завершается, чтобы получить доступ к необходимым файлам.

После этого содержимое папки tdata архивируется во временном каталоге пользователя. Созданный архив отправляется злоумышленникам, а затем удаляется с компьютера, что позволяет скрыть следы деятельности вредоносного ПО.

Есть и положительный момент: по данным экспертов, признаков реального использования этого инструмента пока не обнаружено. Следов передачи архивов найдено не было. Вероятнее всего, исследователи наткнулись на вредоносный код еще на стадии тестирования.

На это указывает и необычный подход к именованию. Обычно злоумышленники стараются маскировать свои инструменты под безобидные сервисы. В данном случае бот использовал название afhbhfsdvfh_bot и даже содержал описание Telegram attacker. По мнению исследователей, бот уже прошел проверку работоспособности, однако еще не был подготовлен к массовому использованию, что и объясняет столь очевидное название.

Как защититься от PowerShell-скриптов

В случае подобных угроз важно использовать комплексный подход к безопасности. Для начала стоит понимать, каким образом PowerShell-скрипты могут оказаться на компьютере. Чаще всего они проникают через вредоносные вложения в электронных письмах, эксплуатацию уязвимостей, зараженное программное обеспечение или методы социальной инженерии.

Поэтому рекомендуется использовать надежные средства защиты и соблюдать осторожность при работе с файлами, ссылками и веб-ресурсами.

Не скачивайте файлы из сомнительных источников

Перед загрузкой любого файла убедитесь в надежности ресурса. Используйте только проверенные сайты. Каналы в Telegram, Discord-сообщества, временные сайты и другие подобные площадки не всегда заслуживают доверия.

Осторожно относитесь к письмам и вложениям

Электронная почта по-прежнему остается одним из основных каналов распространения вредоносного ПО. Злоумышленники могут отправить вредоносный файл напрямую либо предложить перейти по ссылке, которая приведет к автоматической загрузке опасного скрипта.

Своевременно устанавливайте обновления

Уязвимости появляются регулярно, однако разработчики оперативно выпускают исправления. Чтобы снизить риск компрометации устройства, рекомендуется своевременно обновлять операционную систему и программное обеспечение, а также включать автоматические обновления там, где это возможно.

Используйте защитное программное обеспечение

Надежные средства защиты способны обнаруживать вредоносные программы, опасные вложения, фишинговые сайты, спам и другие угрозы. Дополнительным плюсом станет использование менеджера паролей, который поможет создавать и хранить сложные пароли, а также защитит от ввода учетных данных на поддельных сайтах.

Как обезопасить аккаунт Telegram

Какие меры помогут снизить риск угона учетной записи?

Контролируйте активность аккаунта

Злоумышленники обычно используют похищенные аккаунты для рассылок и мошеннических действий. Поэтому рекомендуется регулярно просматривать историю сообщений и обращать внимание на появление неизвестных диалогов или отправленных без вашего участия сообщений.

Завершайте подозрительные сеансы

Если есть основания полагать, что аккаунт был скомпрометирован, следует немедленно завершить все посторонние подключения. Сделать это можно через раздел:

Настройки → Устройства → Активные сессии → Завершить другие сеансы.

Если доступ к аккаунту уже получили злоумышленники, важно действовать максимально быстро. После компрометации у пользователя остается ограниченное время, чтобы завершить чужие сеансы и восстановить контроль над учетной записью.

Включите облачный пароль

Для повышения уровня защиты рекомендуется настроить облачный пароль в разделе:

Настройки → Конфиденциальность → Облачный пароль.

Пароль должен быть уникальным, сложным и устойчивым к подбору.

Используйте ключи доступа (Passkeys)

Еще более надежным вариантом является переход на технологию Passkeys. Такой способ авторизации не требует ввода традиционных паролей и обеспечивает высокий уровень защиты от утечек данных и фишинговых атак.

Настроить ключи доступа можно в разделе:

Настройки → Конфиденциальность → Ключи доступа.

Для хранения Passkeys рекомендуется использовать современные менеджеры паролей с поддержкой синхронизации между различными платформами, что позволит удобно входить в Telegram на Windows, Android, iOS и macOS.