- 26,316
- 46
- 8 Ноя 2022
Хакер-самоучка тестирует инструмент для угона аккаунтов.
Обычный скрипт с безобидным названием «Windows Telemetry Update» оказался ловушкой для тех, кто не привык проверять, что именно запускает на компьютере. Под видом системного процесса злоумышленник спрятал инструмент, который крадёт сессии Telegram для ПК и отправляет их прямо в чат через встроенные возможности самого мессенджера.
Код разместили на Pastebin. Внутри скрывался сценарий на PowerShell, который ищет папки с данными Telegram на компьютере, собирает служебную информацию вроде имени пользователя и IP-адреса, а затем архивирует файлы сессии и отправляет архив через API Telegram -бота. Для этого скрипт сначала принудительно завершает процесс мессенджера, чтобы получить доступ к файлам, затем создаёт архив во временной папке и загружает его в чат злоумышленника.
Скрипт нацелен на папку tdata, где хранятся ключи авторизации . Такие ключи позволяют войти в аккаунт без подтверждения по SMS и без пароля, если их скопировать на другой компьютер. Фактически достаточно одного такого архива, чтобы получить доступ к переписке.
В Pastebin нашли сразу две версии скрипта. Первая оказалась сломанной и не могла отправлять файлы из-за ошибки в загрузке. Во второй автор исправил то, как скрипт отправляет данные, и начал обрабатывать ошибки. По изменениям хорошо видно, как злоумышленник тестировал инструмент, находил проблемы и дорабатывал код.
Внутри обеих версий прямо в тексте лежали токен бота и идентификатор чата. Благодаря этому удалось изучить историю сообщений бота и обнаружить ещё один инструмент того же автора. Речь о веб-воре сессий, который работает через браузер и собирает ключи авторизации из локального хранилища Telegram Web.
Оба инструмента используют одного и того же бота с именем afhbhfsdvfh_bot. При этом архитектура у них разная. Скрипт для компьютера отправляет архив через API Telegram, а веб-инструмент пересылает данные на локальный сервер и дублирует краткие уведомления в чат. Связь между ними только в общей инфраструктуре.
Судя по данным из чата, злоумышленник пока не запускал атаку на реальных жертв. Все признаки указывают на тестирование. Запросы идут с одного и того же браузера, ключи повторяются, а сервер, который принимает данные, работает в локальной сети с адресом 192.168.x.x. Для реальной кампании такая схема не подходит.
Тем не менее оба инструмента уже работают. Исправленный скрипт успешно отправляет архивы, а веб-часть умеет извлекать ключи сессий. Если злоумышленник замаскирует скрипт, наладит автоматическую рассылку или вынесет сервер в интернет, инструмент может быстро перейти от тестов к атакам.
Для пользователей риск вполне реальный. Достаточно запустить подобный скрипт, чтобы потерять контроль над аккаунтом. В таком случае нужно сразу завершить все активные сессии в настройках Telegram, сменить пароль и включить двухфакторную защиту .
Обычный скрипт с безобидным названием «Windows Telemetry Update» оказался ловушкой для тех, кто не привык проверять, что именно запускает на компьютере. Под видом системного процесса злоумышленник спрятал инструмент, который крадёт сессии Telegram для ПК и отправляет их прямо в чат через встроенные возможности самого мессенджера.
Код разместили на Pastebin. Внутри скрывался сценарий на PowerShell, который ищет папки с данными Telegram на компьютере, собирает служебную информацию вроде имени пользователя и IP-адреса, а затем архивирует файлы сессии и отправляет архив через API Telegram -бота. Для этого скрипт сначала принудительно завершает процесс мессенджера, чтобы получить доступ к файлам, затем создаёт архив во временной папке и загружает его в чат злоумышленника.
Скрипт нацелен на папку tdata, где хранятся ключи авторизации . Такие ключи позволяют войти в аккаунт без подтверждения по SMS и без пароля, если их скопировать на другой компьютер. Фактически достаточно одного такого архива, чтобы получить доступ к переписке.
В Pastebin нашли сразу две версии скрипта. Первая оказалась сломанной и не могла отправлять файлы из-за ошибки в загрузке. Во второй автор исправил то, как скрипт отправляет данные, и начал обрабатывать ошибки. По изменениям хорошо видно, как злоумышленник тестировал инструмент, находил проблемы и дорабатывал код.
Внутри обеих версий прямо в тексте лежали токен бота и идентификатор чата. Благодаря этому удалось изучить историю сообщений бота и обнаружить ещё один инструмент того же автора. Речь о веб-воре сессий, который работает через браузер и собирает ключи авторизации из локального хранилища Telegram Web.
Оба инструмента используют одного и того же бота с именем afhbhfsdvfh_bot. При этом архитектура у них разная. Скрипт для компьютера отправляет архив через API Telegram, а веб-инструмент пересылает данные на локальный сервер и дублирует краткие уведомления в чат. Связь между ними только в общей инфраструктуре.
Судя по данным из чата, злоумышленник пока не запускал атаку на реальных жертв. Все признаки указывают на тестирование. Запросы идут с одного и того же браузера, ключи повторяются, а сервер, который принимает данные, работает в локальной сети с адресом 192.168.x.x. Для реальной кампании такая схема не подходит.
Тем не менее оба инструмента уже работают. Исправленный скрипт успешно отправляет архивы, а веб-часть умеет извлекать ключи сессий. Если злоумышленник замаскирует скрипт, наладит автоматическую рассылку или вынесет сервер в интернет, инструмент может быстро перейти от тестов к атакам.
Для пользователей риск вполне реальный. Достаточно запустить подобный скрипт, чтобы потерять контроль над аккаунтом. В таком случае нужно сразу завершить все активные сессии в настройках Telegram, сменить пароль и включить двухфакторную защиту .
- Источник новости
- www.securitylab.ru
