{"id":30833,"date":"2026-07-06T15:08:30","date_gmt":"2026-07-06T13:08:30","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30833"},"modified":"2026-07-06T15:08:30","modified_gmt":"2026-07-06T13:08:30","slug":"telegram-no-password-session-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/telegram-no-password-session-stealer\/30833\/","title":{"rendered":"Account Telegram rubati anche senza password o codici di verifica"},"content":{"rendered":"<p>Esistono decine di metodi per entrare negli account Telegram altrui. Ci siamo spesso occupati di <a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\">phishing nelle mini app Telegram<\/a>, di <a href=\"https:\/\/www.kaspersky.it\/blog\/phishing-and-scam-in-telegram-2025\/29989\/\" target=\"_blank\" rel=\"noopener\">truffe con bot, regali e omaggi<\/a> e di molte altre tattiche. Oggi esamineremo l\u2019ennesimo metodo di dirottamento degli account, questa volta basato su uno script di PowerShell.<\/p>\n<p>Lo script, ingannevolmente chiamato \u201cWindows Telemetry Update\u201d, funge in realt\u00e0 da strumento per dirottare le sessioni di Telegram. Raccoglie i dati da computer <a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">totalmente indifesi<\/a>\u00a0e li inoltra a utenti malintenzionati tramite un bot di Telegram.<\/p>\n<h2>Un script nefasto che nasconde uno stealer<\/h2>\n<p>I criminali informatici si affidano spesso agli script di PowerShell per scaricare malware o raccogliere dati di nascosto. Questa volta i ricercatori hanno <a href=\"https:\/\/flare.io\/learn\/resources\/blog\/telegram-session-stealerpastebin-hosted-powershell-script-targets-desktop-web-sessions\" target=\"_blank\" rel=\"noopener nofollow\">scoperto<\/a> uno script su Pastebin mascherato da aggiornamento di Windows. Nella realt\u00e0 \u00e8 un infostealer progettato per dirottare i dati delle sessioni di Telegram per Windows e consentire agli hacker di impossessarsi degli account senza usare password n\u00e9 codici di verifica.<\/p>\n<blockquote><p>Ma cos\u2019\u00e8 uno script di PowerShell? Possiamo considerarlo come un file di testo ricco di comandi per un computer Windows. Invece che una persona impegnata a fare attivit\u00e0 manuali, il computer segue queste rapide istruzioni per compiere tutte le operazioni automaticamente in pochi secondi.<\/p>\n<\/blockquote>\n<div id=\"attachment_30834\" style=\"width: 1411px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30834\" class=\"wp-image-30834 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/07\/06145857\/telegram-no-password-session-stealer-01.png\" alt=\"Questo script di PowerShell ruba i dati della sessione di Telegram per Windows, consentendo agli hacker di dirottare gli account senza password n\u00e9 codici di verifica\" width=\"1401\" height=\"874\"><p id=\"caption-attachment-30834\" class=\"wp-caption-text\">Questo script di PowerShell ruba i dati della sessione di Telegram per Windows, consentendo agli hacker di dirottare gli account senza password n\u00e9 codici di verifica<\/p><\/div>\n<p>I ricercatori hanno immediatamente individuato in cima allo script un token bot Telegram e un ID chat, oltre a vari riferimenti alla cartella <em>tdata<\/em>. Questa specifica cartella \u00e8 dove Telegram per Windows conserva le chiavi di autorizzazione usate per far accedere gli utenti ai propri server. Se gli autori degli attacchi estraggono questi dati, possono accedere all\u2019account Telegram della vittima senza password o codice di verifica. Una volta all\u2019interno, manterranno l\u2019accesso fino a quando la vittima controller\u00e0 le sessioni attive nell\u2019app e terminer\u00e0 manualmente quelle sospette.<\/p>\n<h2>Come funziona lo stealer<\/h2>\n<p>Il malware arriva nel computer della vittima travestito da script di PowerShell per un aggiornamento della telemetria di Windows. Non appena eseguito, raccoglie informazioni di base sul sistema come nome utente, nome host e indirizzo IP pubblico. Quindi controlla se Telegram Desktop \u00e8 installato. In caso, lo script forza la chiusura dell\u2019app in modo da poter sbloccare i file di Telegram per la modifica.<\/p>\n<p>Da qui, il resto \u00e8 semplice: lo script comprime l\u2019intero contenuto della cartella <em>tdata<\/em> in una directory temporanea, inoltra l\u2019archivio compresso direttamente agli utenti malintenzionati e cancella il file dal computer per nasconderne le tracce.<\/p>\n<p>La buona notizia \u00e8 che lo stealer probabilmente non ha ancora compromesso alcun account, poich\u00e9 gli esperti non hanno trovato prove di effettivi trasferimenti di dati. Sembra che i ricercatori abbiano intercettato questo dannoso script di PowerShell mentre era ancora in fase di prototipo.<\/p>\n<p>Un altro indizio \u00e8 il nome sorprendentemente sospetto. I criminali informatici in genere usano nomi neutri per nascondere bot e app. In questo caso invece il bot individuato dai ricercatori era in esecuzione sotto l\u2019handle del masterizzatore <em>afhbhfsdvfh_bot<\/em> con una descrizione decisamente sincera: <em>Telegram attacker<\/em>. I ricercatori hanno notato che, sebbene il bot fosse probabilmente stato sottoposto a test funzionali, non era ancora stato distribuito su larga scala, il che spiega il nome a mo\u2019 di segnaposto.<\/p>\n<h2>Come difendersi dagli script di Powershell<\/h2>\n<p>La difesa da questo stealer senza nome richiede un approccio alla sicurezza a pi\u00f9 livelli. In primo luogo, \u00e8 utile capire in che modo uno script di PowerShell possa finire nel PC. Di solito questi script passano inosservati a causa di allegati e-mail dannosi, vulnerabilit\u00e0 del software, app infette o trucchi di social engineering. Ecco perch\u00e9 \u00e8 consigliabile installare una <strong><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">solida suite di protezione<\/a><\/strong>\u00a0nel dispositivo e mantenere la massima cautela riguardo a link e download<\/p>\n<ul>\n<li><strong>Fai attenzione a quel che scarichi.<\/strong> Controlla sempre i siti Web usati per scaricare i file. Attieniti a fonti ufficiali attendibili e ricorda che i canali Telegram e <a href=\"https:\/\/www.kaspersky.it\/blog\/hijacked-discord-invite-links-for-multi-stage-malware-delivery\/29898\/\" target=\"_blank\" rel=\"noopener\">Discord<\/a>, ma anche siti Web abbozzati e improvvisati, non rientrano certamente in questa categoria.<\/li>\n<li><strong>Fai attenzione ai link e agli allegati e-mail. <\/strong>Tieni presente che l\u2019e-mail rimane il metodo di invio preferito dai criminali informatici. Potrebbero rilasciare uno script di PowerShell direttamente nella Posta in arrivo come allegato o invitare a fare clic su un collegamento che attiva un download automatico.<\/li>\n<li><strong>Mantieni aggiornate le app e il sistema operativo. <\/strong>Le vulnerabilit\u00e0 del software vengono visualizzate in modo imprevisto, ma le patch vengono in genere rilasciate molto rapidamente. \u00c8 consigliabile installare gli aggiornamenti non appena diventano disponibili. Per semplificarti la vita, \u00e8 sufficiente attivare gli aggiornamenti automatici ove possibile.<\/li>\n<\/ul>\n<p>Assicurati di installare <strong><a href=\"https:\/\/www.kaspersky.it\/premium?icid=it_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a><\/strong> in ogni dispositivo in cui \u00e8 in esecuzione Telegram. La nostra soluzione di protezione bloccher\u00e0 malware, allegati dannosi, spam, tentativi di phishing e siti Web loschi. L\u2019abbonamento include inoltre un <a href=\"https:\/\/www.kaspersky.it\/password-manager?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">gestore di password<\/a>. Questo genera e archivia in modo sicuro password complesse e univoche, impedisce di immettere le credenziali in siti contraffatti e risulta utile per rafforzare la sicurezza di Telegram, di cui parliamo qui sotto.<\/p>\n<h2>Come proteggere l\u2019account di Telegram<\/h2>\n<p>Per proteggere l\u2019account di Telegram da questi tipi di schemi di dirottamento, \u00e8 consigliabile procedere come segue:<\/p>\n<ul>\n<li><strong>Monitora regolarmente le attivit\u00e0 su Telegram.<\/strong> Gli hacker rubano gli account praticamente per diffondere spam e attuare truffe. \u00c8 buona cosa quindi controllare occasionalmente la cronologia delle chat per assicurarsi che non siano visualizzati nuovi messaggi o conversazioni non richieste.<\/li>\n<li><strong>Chiudi immediatamente le sessioni non riconosciute.<\/strong> Se sospetti di essere stato vittima di questo infostealer o di qualsiasi altro attacco informatico, termina tutte le altre sessioni di Telegram il prima possibile andando in <em>Impostazioni<\/em> \u2192 <em>Dispositivi<\/em> \u2192 <em>Interrompi tutte le altre sessioni<\/em>.<\/li>\n<\/ul>\n<p>Se il tuo account Telegram \u00e8 stato dirottato, hai una finestra di 24 ore per cacciare gli autori dell\u2019attacco interrompendo le loro sessioni. Abbiamo analizzato esattamente il motivo per cui esiste questa regola e abbiamo individuato ogni modo possibile per rivendicare l\u2019account nella nostra dettagliata guida <a href=\"https:\/\/www.kaspersky.it\/blog\/telegram-account-hacked\/29384\/\" target=\"_blank\" rel=\"noopener\"><strong>Cosa fare in caso di violazione dell\u2019account Telegram<\/strong><\/a><strong>.<\/strong><\/p>\n<p>Nel frattempo, \u00e8 necessario rafforzare la sicurezza dell\u2019account. Innanzitutto, imposta una password cloud andando in <em>Impostazioni<\/em> \u2192 <em>Privacy e sicurezza<\/em> \u2192 <em>Verifica in due passaggi<\/em>. Una normale password non basta: hai bisogno di qualcosa di unico e inviolabile. Ti consigliamo di leggere il nostro post sull\u2019argomento, <a href=\"https:\/\/www.kaspersky.it\/blog\/international-password-day-2025\/29642\/\" target=\"_blank\" rel=\"noopener\"><strong>Come creare una password impossibile da dimenticare<\/strong><\/a>.<\/p>\n<p>Meglio ancora, adotta una <a href=\"https:\/\/www.kaspersky.it\/blog\/full-guide-to-passkeys-in-2025-part-1\/29790\/\" target=\"_blank\" rel=\"noopener\">passkey<\/a>, la tecnologia senza password che offre protezione di alto livello da fughe di dati e phishing. Per impostare il metodo di accesso, vai in <em>Impostazioni<\/em> \u2192 <em>Privacy e sicurezza<\/em> \u2192 <em>Passkey<\/em>. Il modo pi\u00f9 semplice per gestire le Passkey \u00e8 usare <strong><a href=\"https:\/\/www.kaspersky.it\/password-manager?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a><\/strong>. La nostra app multipiattaforma consente di accedere senza problemi a Telegram usando le passkey salvate, indipendentemente dal fatto che si stia usando Windows, Android, iOS o macOS.<\/p>\n<p><\/p><blockquote><p>Per ulteriori informazioni su come i criminali informatici possono violare il tuo account Telegram e su come bloccarli, consulta i nostri altri post:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/phishing-and-scam-in-telegram-2025\/29989\/\" target=\"_blank\" rel=\"noopener\">Truffe Telegram con bot, regali e criptovalute<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/how-to-prevent-whatsapp-telegram-account-hijacking-and-quishing\/29473\/\" target=\"_blank\" rel=\"noopener\"> Hijacking di account WhatsApp e Telegram : come proteggersi dalle truffe<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/telegram-premium-scam\/29356\/\" target=\"_blank\" rel=\"noopener\">Hai ricevuto un \u201cregalo\u201d: un abbonamento Telegram Premium<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/telegram-account-hacked\/29384\/\" target=\"_blank\" rel=\"noopener\">Cosa fare in caso di violazione dell\u2019account Telegram<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\">Phishing nelle mini app Telegram: cosa c\u2019entra la papakha di Habib?<\/a><br>\n<\/li><\/ul><\/blockquote>\n\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Alcuni hacker hanno sviluppato uno script di PowerShell per dirottare le sessioni di Telegram e avere accesso ad account altrui senza password o codici di verifica. Ecco in dettaglio come funziona l&#8217;attacco e come stare al sicuro.<\/p>\n","protected":false},"author":2754,"featured_media":30835,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,2194],"tags":[750,1722,638,45,3167,2652],"class_list":{"0":"post-30833","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-account","10":"tag-messaggistica","11":"tag-minacce","12":"tag-sicurezza","13":"tag-stealer","14":"tag-telegram"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/telegram-no-password-session-stealer\/30833\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/telegram-no-password-session-stealer\/30842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/telegram-no-password-session-stealer\/25881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/telegram-no-password-session-stealer\/30683\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/telegram-no-password-session-stealer\/32286\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/telegram-no-password-session-stealer\/42109\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/telegram-no-password-session-stealer\/14672\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/telegram-no-password-session-stealer\/56006\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/telegram-no-password-session-stealer\/24092\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/telegram-no-password-session-stealer\/25155\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/telegram-no-password-session-stealer\/33678\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/telegram-no-password-session-stealer\/30790\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/telegram-no-password-session-stealer\/36351\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/telegram-no-password-session-stealer\/36241\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/telegram\/","name":"Telegram"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2754"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30833"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30833\/revisions"}],"predecessor-version":[{"id":30836,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30833\/revisions\/30836"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30835"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}