最近分析された「Windows Telemetry Update」を装ったPowerShellスクリプトは、Telegram Desktopのセッションデータを盗んでZIPアーカイブにパッケージ化し、攻撃者が管理するTelegramボットに送信するために構築されており、非常にシンプルなスクリプトでもいかに深刻なアカウント乗っ取りリスクを生み出すかを示しています。
研究者によると、このツーリングは高度な回避手法で注目されるのではなく、むしろオペレータのワークフローについて明かすもの—ハードコードされたボット認証情報、明らかなテストミス、および最初の壊れたバージョンから機能する2番目のバージョンへの可視的な進捗—で注目されています。
このスクリプトはAppData\Telegram Desktop\tdata および AppData\Telegram Desktop Beta\tdata の下でTelegram Desktopセッションフォルダを探し、既に認証されたTelegramクライアントに関連付けられた認可データを格納しています。
盗む前に、被害者のユーザー名、コンピュータ名、公開IPアドレスを収集し、その後オペレータに送信される流出メッセージのコンテキストとしてそのデータを使用します。
Telegramがインストールされている場合、マルウェアはTelegram.exeを終了し、ファイルロックがクリアされるまで少し待ってから、セッションファイルをTEMP\diag.zipに圧縮し、TelegramのsendDocument APIを介してアーカイブをアップロードします。
このアップロードルーチンはケースの最も明らかな部分の1つです。Flareはパスティンでスクリプトの2つのバージョンを見つけ、最初のバージョンはTelegramのマルチパートファイルアップロードを正しく処理していなかったため失敗し、盗まれたZIPファイルはボットに到達しません。
2番目のバージョンはInvoke-RestMethod -Formを使用することでその問題を修正し、WebClient.UploadFile()を使用したフォールバックを追加し、オペレータがスクリプトが実行されたという確認を受け取るように「Telegramインストールが見つかりません」メッセージを送信しました。
実際には、マルウェアがセッションスチーラーとホスト到達可能性プローブの両方になります。
同じ調査により、同じボットインフラストラクチャにリンクされた別のWebベースのTelegramセッションキャプチャ機能も明らかになりました。
分析によれば、ボットのメッセージ履歴には、キャプチャされたTelegram Webデータのプレビューが含まれており、ブラウザのローカルストレージからのdc3_auth_key および dc4_auth_key 値を含み、被害者のパスワードを再度必要としずに認証されたセッションを再構成するために使用できます。
研究者は、PowerShellデスクトップスチーラーとWebコレクターが技術的に統合されていないことを発見しました。
研究者がその判断をした根拠はいくつかあります:スクリプトは難読化されていない、プレーンテキストでボット認証情報を含んでいる、永続化メカニズムが不足している、および関連するWebコレクターはパブリックなコマンド・アンド・コントロールインフラストラクチャではなく、プライベートLANアドレス192.168.137.131:5000を指していました。
ボットのテレメトリはまた、同一のユーザーエージェント、繰り返されるキーパターン、連続的なカウンターを備えた繰り返されたセッションテストを示しており、これらすべては実際の被害者アクティビティよりもクローズドループオペレータテストとより適合しています。
翻訳元: https://cyberpress.org/powershell-steals-telegram-sessions/