هکرها چگونه با استفاده از اسکریپتهای PowerShell حسابهای Telegram را سرقت میکنند؟
روشهای مختلفی برای دسترسی غیرمجاز به حسابهای Telegram وجود دارد. پیش از این، بارها درباره حملات فیشینگ در Telegram Mini Apps، کلاهبرداری از طریق Botها، Giftها، Giveawayها و بسیاری از روشهای دیگر صحبت کردهایم.
این بار با روش متفاوتی روبهرو هستیم که بر پایه یک اسکریپت PowerShell عمل میکند.
این اسکریپت که با نام فریبنده Windows Telemetry Update منتشر شده، در واقع ابزاری برای سرقت Sessionهای Telegram است. این ابزار اطلاعات سیستمهای آلوده را جمعآوری کرده و از طریق یک Telegram Bot برای مهاجمان ارسال میکند.
یک اسکریپت مخرب با Stealer داخلی
مجرمان سایبری مدتهاست از اسکریپتهای PowerShell برای دانلود مخفیانه بدافزارها یا سرقت اطلاعات استفاده میکنند.
این بار، محققان اسکریپتی را در Pastebin شناسایی کردند که خود را بهعنوان یک بهروزرسانی معمولی Windows معرفی میکرد.
اما در واقع، این اسکریپت یک Infostealer بود که اطلاعات Session مربوط به Telegram for Windows را سرقت میکرد و به مهاجمان اجازه میداد بدون نیاز به رمز عبور یا کد تأیید، حساب کاربران را در اختیار بگیرند.
PowerShell را میتوان یک فایل متنی شامل مجموعهای از دستورات برای Windows دانست که بهجای اجرای دستی عملیات توسط کاربر، وظایف موردنظر را بهصورت خودکار و در مدتزمانی بسیار کوتاه اجرا میکند.
هدف اصلی؛ پوشه tdata
در همان ابتدای اسکریپت، محققان موارد زیر را مشاهده کردند:
- Token مربوط به Telegram Bot
- شناسه Chat
- چندین ارجاع به پوشه tdata
پوشه tdata محلی است که Telegram for Windows کلیدهای احراز هویت موردنیاز برای اتصال به سرورهای Telegram را در آن نگهداری میکند.
اگر مهاجم به اطلاعات موجود در این پوشه دسترسی پیدا کند، میتواند بدون نیاز به رمز عبور یا کد تأیید وارد حساب Telegram قربانی شود.
این دسترسی تا زمانی باقی میماند که کاربر Sessionهای فعال خود را بررسی کرده و Session مشکوک را بهصورت دستی خاتمه دهد.
Stealer چگونه عمل میکند؟
بدافزار در قالب یک اسکریپت PowerShell با عنوان Windows Telemetry Update وارد سیستم قربانی میشود.
پس از اجرا، ابتدا اطلاعات اولیه سیستم را جمعآوری میکند، از جمله:
- نام کاربری
- نام سیستم (Hostname)
- آدرس IP عمومی
سپس بررسی میکند که آیا Telegram Desktop روی سیستم نصب شده است یا خیر.
در صورت وجود Telegram، ابتدا برنامه را میبندد تا فایلهای آن برای دسترسی و تغییر قفل نباشند.
در ادامه، کل محتوای پوشه tdata را در یک فایل فشرده ذخیره کرده، آن را مستقیماً برای مهاجمان ارسال میکند و در نهایت فایل موقت را از روی سیستم حذف میکند تا آثار فعالیت خود را از بین ببرد.
خوشبختانه هنوز در مرحله آزمایش بود
بررسیهای انجامشده نشان میدهد این Stealer احتمالاً هنوز موفق به سرقت هیچ حساب کاربری نشده است.
کارشناسان هیچ مدرکی مبنی بر ارسال واقعی اطلاعات به سرور مهاجمان پیدا نکردند و به نظر میرسد این اسکریپت زمانی شناسایی شده که هنوز در مرحله آزمایش قرار داشته است.
نشانه دیگر این موضوع، نام بسیار مشکوک Bot مورد استفاده بود.
مجرمان سایبری معمولاً برای پنهان کردن فعالیت خود از نامهای عادی استفاده میکنند، اما این Bot با نام:
afhbhfsdvfh_bot
و توضیح کاملاً واضح:
Telegram attacker
فعالیت میکرد.
این موضوع نشان میدهد اگرچه عملکرد آن آزمایش شده بود، اما هنوز بهصورت گسترده مورد استفاده قرار نگرفته بود.
چگونه در برابر اسکریپتهای PowerShell محافظت کنیم؟
مقابله با چنین Stealerهایی نیازمند یک رویکرد چندلایه امنیتی است.
در قدم اول باید بدانید این اسکریپتها معمولاً چگونه وارد سیستم میشوند.
رایجترین روشها عبارتاند از:
- پیوستهای مخرب ایمیل
- سوءاستفاده از آسیبپذیریهای نرمافزاری
- برنامههای آلوده
- حملات مهندسی اجتماعی
به همین دلیل توصیه میشود علاوه بر استفاده از یک راهکار امنیتی قدرتمند، هنگام دانلود فایلها و کلیک روی لینکها نیز دقت کافی داشته باشید.
توصیههای امنیتی
فایلها را فقط از منابع معتبر دانلود کنید
همیشه وبسایتی را که فایل را از آن دانلود میکنید بررسی کنید.
از منابع رسمی استفاده کنید و به خاطر داشته باشید کانالهای Telegram، Discord یا وبسایتهای ناشناس، منابع قابل اعتمادی برای دانلود نرمافزار نیستند.
مراقب لینکها و فایلهای ایمیل باشید
ایمیل همچنان یکی از رایجترین روشهای توزیع بدافزار است.
مهاجمان ممکن است اسکریپت PowerShell را مستقیماً بهعنوان فایل پیوست ارسال کنند یا لینکی در اختیار شما قرار دهند که باعث دانلود خودکار آن شود.
نرمافزارها و سیستمعامل را بهروز نگه دارید
آسیبپذیریهای نرمافزاری ممکن است در هر زمانی کشف شوند، اما معمولاً Patchهای امنیتی نیز بهسرعت منتشر میشوند.
بنابراین توصیه میشود بهروزرسانیهای جدید را در اولین فرصت نصب کنید و در صورت امکان، قابلیت بهروزرسانی خودکار را فعال نگه دارید.
از یک راهکار امنیتی قدرتمند استفاده کنید
توصیه میشود روی تمامی دستگاههایی که از Telegram استفاده میکنید، یک راهکار امنیتی مانند Kaspersky Premium نصب داشته باشید.
این راهکار میتواند:
- بدافزارها را شناسایی و مسدود کند.
- فایلهای پیوست مخرب را تشخیص دهد.
- حملات فیشینگ را متوقف کند.
- از ورود به وبسایتهای مخرب جلوگیری کند.
همچنین اشتراک Kaspersky Premium شامل Kaspersky Password Manager نیز میشود که امکان تولید و نگهداری ایمن رمزهای عبور را فراهم کرده و از وارد کردن اطلاعات ورود در صفحات جعلی جلوگیری میکند.
چگونه حساب Telegram خود را ایمنتر کنیم؟
برای محافظت از حساب Telegram در برابر چنین حملاتی، توصیه میشود اقدامات زیر را انجام دهید.
فعالیت حساب خود را بهطور منظم بررسی کنید
هدف اصلی مهاجمان از سرقت حسابهای Telegram، ارسال پیامهای اسپم و اجرای کلاهبرداری است.
بنابراین بهتر است هر از گاهی گفتوگوها و پیامهای خود را بررسی کنید تا مطمئن شوید پیامی بدون اطلاع شما ارسال نشده است.
Sessionهای ناشناس را فوراً خاتمه دهید
اگر احتمال میدهید حساب شما در معرض این حمله یا هر حمله سایبری دیگری قرار گرفته است، بلافاصله تمام Sessionهای ناشناس را از مسیر زیر خاتمه دهید:
Settings → Devices → Terminate all other sessions
اگر حساب شما به سرقت رفته باشد، تا 24 ساعت فرصت دارید با خاتمه دادن Sessionهای مهاجم، دوباره کنترل حساب خود را به دست بگیرید.
احراز هویت دومرحلهای را فعال کنید
برای افزایش امنیت حساب، قابلیت Two-Step Verification را از مسیر زیر فعال کنید:
Settings → Privacy and Security → Two-Step Verification
در انتخاب رمز عبور نیز از یک رمز منحصربهفرد و قدرتمند استفاده کنید.
از Passkey استفاده کنید
در صورت امکان، بهجای رمز عبور از Passkey استفاده کنید.
Passkeyها در برابر نشت اطلاعات و حملات فیشینگ مقاومت بسیار بیشتری دارند و امنیت بالاتری را برای حساب کاربری فراهم میکنند.
برای فعالسازی آن به مسیر زیر بروید:
Settings → Privacy and Security → Passkeys
همچنین میتوانید با استفاده از Kaspersky Password Manager، Passkeyهای خود را بهصورت ایمن ذخیره و میان دستگاههای مختلف مانند Windows، Android، iOS و macOS همگامسازی کنید.