Descoberta e escopo da ameaça
Pesquisadores de segurança descobriram um script PowerShell personalizado hospedado no Pastebin projetado para roubar silenciosamente dados de sessão do Telegram de clientes desktop e baseados na web. O script é disfarçado como uma atualização de sistema Windows rotineira, tornando-o fácil para usuários desavisados executarem sem levantar alarmes. A análise da Flare identificou este script hospedado no Pastebin como uma ameaça de alta severidade.
O script malicioso é intitulado "Windows Telemetry Update", um nome escolhido cuidadosamente para imitar o estilo de nomenclatura de tarefas de manutenção legítimas do Windows. Uma vez executado, o script não perde tempo. Ele primeiro coleta metadados do host, incluindo nome de usuário, nome do computador e endereço IP público, antes de prosseguir para seu objetivo principal.
Alvo de diretórios sob %APPDATA%\Telegram Desktop e %APPDATA%\Telegram Desktop Beta, o script localiza e arquiva arquivos de sessão em um arquivo compactado chamado "diag.zip" armazenado temporariamente na pasta TEMP do usuário. A análise revelou um coletor de sessões do Telegram feito sob medida que visa dados de sessão desktop, exfiltrando-os através da API do Bot do Telegram.
Mecanismo de roubo de sessão
A cadeia de infecção começa no momento em que uma vítima executa manualmente o arquivo PowerShell. O script abre dois caminhos investigativos simultaneamente: ele consulta a API do Bot do Telegram diretamente para enumerar o bot e puxa qualquer telemetria de bot existente do histórico de mensagens do bot usando a ferramenta Matka.
Após coletar metadados do host, o script verifica as instalações estável e beta do Telegram Desktop sob %APPDATA%. Os caminhos correspondentes são anexados a um array de caminhos, e o script prossegue apenas se pelo menos um caminho tdata existir. Caso contrário, ele aciona um beacon "Nenhuma instalação do Telegram encontrada", o que significa que o script ainda envia uma notificação ao operador em cada execução, independentemente do resultado.
O script então encerra forçosamente o processo do Telegram para liberar bloqueios de arquivo no diretório tdata antes que a compressão comece. Uma vez que o arquivo compactado está pronto, o endpoint de API do bot api.telegram.org/bot{token}/sendDocument é chamado com o ID de chat do operador, metadados da vítima como legenda e "diag.zip" como documento. Se esse método falhar, um fallback WebClient UploadFile garante que o arquivo compactado chegue ao operador.
Análise técnica e evolução do malware
O que torna este caso particularmente instrutivo não é a sofisticação da ferramenta, que é mínima, mas o que os artefatos revelam: dois mecanismos de coleta operando em estágios diferentes de desenvolvimento, credenciais hardcode que expuseram o histórico inteiro do operador e um rastro de depuração claro de uma primeira versão quebrada para uma segunda funcional.
O script foi encontrado em duas versões no Pastebin, ambas postadas na mesma conta. A versão inicial (v1) continha uma implementação de upload multipart fundamentalmente quebrada que fazia com que o arquivo compactado "diag.zip" nunca chegasse ao bot. O operador observou essa falha, diagnosticou o problema e publicou uma versão corrigida (v2) que implementa corretamente o endpoint sendDocument.
Nenhuma das versões do script inclui ofuscação, mecanismos de persistência ou um mecanismo de entrega ou execução automatizado. Com base na análise da Flare, o script parecia ainda estar em validação ativa no momento da descoberta, em vez de implantado em uma campanha ao vivo. No entanto, a variante funcional v2 e o coletor de sessões baseado na web confirmado que compartilham a mesma infraestrutura de bot indicam que a capacidade passou pela validação funcional.
Medidas de mitigação recomendadas
Equipes de segurança e usuários individuais devem tomar as seguintes medidas se suspeitarem que este script foi executado em um sistema. A resposta rápida é essencial para prevenir o comprometimento contínuo da conta.
- Encerramento de Sessões: Encerre imediatamente todas as sessões ativas do Telegram através das configurações do aplicativo, navegue até Privacidade e Segurança, depois Sessões Ativas e selecione Encerrar Todas as Outras Sessões.
- Alteração de Senha: Altere sua senha do Telegram e habilite a autenticação de dois fatores (2FA) se não estiver ativa.
- Revisão de Conta: Revise a conta do Telegram quanto a qualquer atividade não autorizada, mensagens incomuns enviadas da conta afetada ou alterações nas configurações da conta.
- Monitoramento de Rede: No nível de rede, bloqueie os seguintes domínios na camada de proxy e firewall em ambientes onde o Telegram não é permitido: api.telegram.org e web.telegram.org.
Implicações para governança de segurança
Este ataque destaca o risco de scripts maliciosos hospedados em serviços legítimos como o Pastebin. A facilidade de distribuição e a aparência de atualizações de sistema tornam essa técnica eficaz para engenharia social. CISOs devem considerar a implementação de controles de execução de scripts para prevenir a execução não autorizada de PowerShell.
A exfiltração de dados de sessão permite que atacantes assumam contas sem precisar de senha ou verificação SMS após a configuração inicial. Isso representa um risco significativo para a confidencialidade das comunicações corporativas e pessoais.
O que fazer agora
1. Revise os logs de execução de scripts PowerShell em sua rede. 2. Implemente políticas de restrição de execução de scripts para ambientes corporativos. 3. Monitore chamadas de API do Telegram originadas de ambientes de script. 4. Eduque usuários sobre os riscos de executar scripts de fontes não confiáveis.
Perguntas frequentes
Como o script rouba dados? Ele compacta arquivos de sessão e os envia via API do Bot do Telegram. É necessário reiniciar o computador? Não necessariamente, mas encerrar sessões do Telegram é crucial. Como prevenir? Bloqueie execução de scripts não assinados e monitore tráfego de rede para api.telegram.org.