Hacker nutzen Pastebin-gehostete PowerShell-Skripte, um Telegram-Sitzungen zu stehlen

Cybersicherheitsforscher haben ein eigens erstelltes PowerShell-Skript auf Pastebin aufgedeckt, das entwickelt wurde, um still Telegram-Sitzungsdaten sowohl Web-Clients zu stehlen.

Das Skript is Cybersicherheitsforscher haben ein eigens erstelltes PowerShell-Skript auf Pastebin aufgedeckt, das entwickelt wurde, um still Telegram-Sitzungsdaten sowohl Web-Clients zu stehlen.

Das Skript ist als routinemäßiges Windows-System-Update getarnt, was es für unachtsame Benutzer einfach macht, es auszuführen, ohne dass Alarm ausgelöst wird. Das bösartige Skript trägt den Titel „Windows Telemetry Update“, ein Name, der sorgfältig gewählt wurde, um den Benennungsstil legitimer Windows-Wartungsaufgaben zu imitieren.

Nach der Ausführung zögert das Skript nicht. Zuerst sammelt es Host-Metadaten, einschließlich des Benutzernamens des Opfers, des Computernamens und der öffentlichen IP-Adresse über api.ipify[.]org, bevor es zu seinem Hauptziel übergeht.

Das Skript zielt auf Verzeichnisse unter %APPDATA%\Telegram Desktop und %APPDATA%\Telegram Desktop Beta ab, lokalisiert und archiviert die Sitzungsdateien in eine komprimierte Datei namens „diag.zip“, die vorübergehend im TEMP-Ordner des Benutzers gespeichert wird.

Flare-Analysten stuften dieses auf Pastebin gehostete Skript als Bedrohung mit hoher Schwere ein, nachdem sie es während der kontinuierlichen Überwachung älen auf bösartigen Inhalt markiert hatten.