Обнаружен стилер, перехватывающий сессии Telegram без авторизации

Специалисты по кибербезопасности выявили экспериментальный вредоносный инструмент, ориентированный на кражу сессий десктопной версии Telegram. В отличие от классических стилеров, он не собирает пароли или данные браузеров, а нацелен на файлы, содержащие ключи доступа к аккаунтам.

Вредоносный код распространялся в виде PowerShell-скрипта, размещённого на Pastebin под видом обновления Windows. Анализ показал, что программа находится на стадии разработки: в ней обнаружены открытые служебные данные, включая токен Telegram-бота и идентификатор чата.

После запуска скрипт собирает базовую информацию о системе — имя пользователя, имя устройства и внешний IP-адрес — и формирует пакет данных для отправки. Основной целью являются директории tdata в папках Telegram Desktop, где хранятся ключи аутентификации протокола MTProto. Получение этих файлов позволяет злоумышленнику получить доступ к аккаунту без ввода пароля и подтверждения по СМС.

При обнаружении нужных данных программа завершает процесс Telegram, архивирует файлы в папку временного хранения и отправляет их через Telegram Bot API. В коде предусмотрен резервный способ передачи данных на случай сбоя основного механизма.

Исследователи выявили две версии скрипта. Первая содержала ошибки, тогда как вторая уже включала доработанную отправку данных и базовую обработку сбоев. При отсутствии Telegram на устройстве программа всё равно уведомляет оператора, что позволяет использовать её для проверки потенциальных целей.

На данный момент признаков массового распространения не зафиксировано. Скрипт не имеет механизмов скрытия, закрепления в системе или автоматического распространения. По оценке специалистов, речь идёт о тестовой разработке, а не о развернутой атаке, однако сам принцип работы представляет потенциальную угрозу для пользователей.