Esistono decine di metodi per entrare negli account Telegram altrui. Ci siamo spesso occupati di phishing nelle mini app Telegram, di truffe con bot, regali e omaggi e di molte altre tattiche. Oggi esamineremo l’ennesimo metodo di dirottamento degli account, questa volta basato su uno script di PowerShell.
Lo script, ingannevolmente chiamato “Windows Telemetry Update”, funge in realtà da strumento per dirottare le sessioni di Telegram. Raccoglie i dati da computer totalmente indifesi e li inoltra a utenti malintenzionati tramite un bot di Telegram.
Un script nefasto che nasconde uno stealer
I criminali informatici si affidano spesso agli script di PowerShell per scaricare malware o raccogliere dati di nascosto. Questa volta i ricercatori hanno scoperto uno script su Pastebin mascherato da aggiornamento di Windows. Nella realtà è un infostealer progettato per dirottare i dati delle sessioni di Telegram per Windows e consentire agli hacker di impossessarsi degli account senza usare password né codici di verifica.
Ma cos’è uno script di PowerShell? Possiamo considerarlo come un file di testo ricco di comandi per un computer Windows. Invece che una persona impegnata a fare attività manuali, il computer segue queste rapide istruzioni per compiere tutte le operazioni automaticamente in pochi secondi.

Questo script di PowerShell ruba i dati della sessione di Telegram per Windows, consentendo agli hacker di dirottare gli account senza password né codici di verifica
I ricercatori hanno immediatamente individuato in cima allo script un token bot Telegram e un ID chat, oltre a vari riferimenti alla cartella tdata. Questa specifica cartella è dove Telegram per Windows conserva le chiavi di autorizzazione usate per far accedere gli utenti ai propri server. Se gli autori degli attacchi estraggono questi dati, possono accedere all’account Telegram della vittima senza password o codice di verifica. Una volta all’interno, manterranno l’accesso fino a quando la vittima controllerà le sessioni attive nell’app e terminerà manualmente quelle sospette.
Come funziona lo stealer
Il malware arriva nel computer della vittima travestito da script di PowerShell per un aggiornamento della telemetria di Windows. Non appena eseguito, raccoglie informazioni di base sul sistema come nome utente, nome host e indirizzo IP pubblico. Quindi controlla se Telegram Desktop è installato. In caso, lo script forza la chiusura dell’app in modo da poter sbloccare i file di Telegram per la modifica.
Da qui, il resto è semplice: lo script comprime l’intero contenuto della cartella tdata in una directory temporanea, inoltra l’archivio compresso direttamente agli utenti malintenzionati e cancella il file dal computer per nasconderne le tracce.
La buona notizia è che lo stealer probabilmente non ha ancora compromesso alcun account, poiché gli esperti non hanno trovato prove di effettivi trasferimenti di dati. Sembra che i ricercatori abbiano intercettato questo dannoso script di PowerShell mentre era ancora in fase di prototipo.
Un altro indizio è il nome sorprendentemente sospetto. I criminali informatici in genere usano nomi neutri per nascondere bot e app. In questo caso invece il bot individuato dai ricercatori era in esecuzione sotto l’handle del masterizzatore afhbhfsdvfh_bot con una descrizione decisamente sincera: Telegram attacker. I ricercatori hanno notato che, sebbene il bot fosse probabilmente stato sottoposto a test funzionali, non era ancora stato distribuito su larga scala, il che spiega il nome a mo’ di segnaposto.
Come difendersi dagli script di Powershell
La difesa da questo stealer senza nome richiede un approccio alla sicurezza a più livelli. In primo luogo, è utile capire in che modo uno script di PowerShell possa finire nel PC. Di solito questi script passano inosservati a causa di allegati e-mail dannosi, vulnerabilità del software, app infette o trucchi di social engineering. Ecco perché è consigliabile installare una solida suite di protezione nel dispositivo e mantenere la massima cautela riguardo a link e download
- Fai attenzione a quel che scarichi. Controlla sempre i siti Web usati per scaricare i file. Attieniti a fonti ufficiali attendibili e ricorda che i canali Telegram e Discord, ma anche siti Web abbozzati e improvvisati, non rientrano certamente in questa categoria.
- Fai attenzione ai link e agli allegati e-mail. Tieni presente che l’e-mail rimane il metodo di invio preferito dai criminali informatici. Potrebbero rilasciare uno script di PowerShell direttamente nella Posta in arrivo come allegato o invitare a fare clic su un collegamento che attiva un download automatico.
- Mantieni aggiornate le app e il sistema operativo. Le vulnerabilità del software vengono visualizzate in modo imprevisto, ma le patch vengono in genere rilasciate molto rapidamente. È consigliabile installare gli aggiornamenti non appena diventano disponibili. Per semplificarti la vita, è sufficiente attivare gli aggiornamenti automatici ove possibile.
Assicurati di installare Kaspersky Premium in ogni dispositivo in cui è in esecuzione Telegram. La nostra soluzione di protezione bloccherà malware, allegati dannosi, spam, tentativi di phishing e siti Web loschi. L’abbonamento include inoltre un gestore di password. Questo genera e archivia in modo sicuro password complesse e univoche, impedisce di immettere le credenziali in siti contraffatti e risulta utile per rafforzare la sicurezza di Telegram, di cui parliamo qui sotto.
Come proteggere l’account di Telegram
Per proteggere l’account di Telegram da questi tipi di schemi di dirottamento, è consigliabile procedere come segue:
- Monitora regolarmente le attività su Telegram. Gli hacker rubano gli account praticamente per diffondere spam e attuare truffe. È buona cosa quindi controllare occasionalmente la cronologia delle chat per assicurarsi che non siano visualizzati nuovi messaggi o conversazioni non richieste.
- Chiudi immediatamente le sessioni non riconosciute. Se sospetti di essere stato vittima di questo infostealer o di qualsiasi altro attacco informatico, termina tutte le altre sessioni di Telegram il prima possibile andando in Impostazioni → Dispositivi → Interrompi tutte le altre sessioni.
Se il tuo account Telegram è stato dirottato, hai una finestra di 24 ore per cacciare gli autori dell’attacco interrompendo le loro sessioni. Abbiamo analizzato esattamente il motivo per cui esiste questa regola e abbiamo individuato ogni modo possibile per rivendicare l’account nella nostra dettagliata guida Cosa fare in caso di violazione dell’account Telegram.
Nel frattempo, è necessario rafforzare la sicurezza dell’account. Innanzitutto, imposta una password cloud andando in Impostazioni → Privacy e sicurezza → Verifica in due passaggi. Una normale password non basta: hai bisogno di qualcosa di unico e inviolabile. Ti consigliamo di leggere il nostro post sull’argomento, Come creare una password impossibile da dimenticare.
Meglio ancora, adotta una passkey, la tecnologia senza password che offre protezione di alto livello da fughe di dati e phishing. Per impostare il metodo di accesso, vai in Impostazioni → Privacy e sicurezza → Passkey. Il modo più semplice per gestire le Passkey è usare Kaspersky Password Manager. La nostra app multipiattaforma consente di accedere senza problemi a Telegram usando le passkey salvate, indipendentemente dal fatto che si stia usando Windows, Android, iOS o macOS.
Per ulteriori informazioni su come i criminali informatici possono violare il tuo account Telegram e su come bloccarli, consulta i nostri altri post:
Telegram