ハッカーは、Windowsテレメトリ更新になりすましているPastebinでホストされるPowerShellスクリプト内に隠された、新しいTelegram対象のセッション盗難ツールを試験しており、防御者にこのようなツールがどのように構築・テストされるかについて稀な情報を提供しています。
このスクリプトはパスワードやブラウザ認証情報の取得を試みず、代わりにTelegramのデスクトップクライアントデータに完全に焦点を当て、Telegramの独自のBot APIを使用して盗まれたセッションを流出させます。
このツールは単純ですが、オペレータのインフラ、開発プロセス、および同じボットチャネルを使用する並行したウェブベースのTelegram盗難ツールを露出させています。
Pastebin上に「Windows Telemetry Update – Fixed version」という名前でアップロードされたPowerShellスクリプトは、分析によりTelegramデスクトップセッションデータを盗むために設計されたことが明らかになった後、高度な脅威として警告されました。
PowerShellスティーラーの仕組み
このスクリプトはハードコードされたTelegramボット認証情報とチャットIDを使用することで開始され、任意の実行をオペレータのボットアカウント「afhbhfsdvfh_bot」にすぐに結びつけます。このボットは「Telegram attacker」として識別されます。
その後、api.ipify[.]orgを経由してユーザー名、ホスト名、パブリックIPなどの基本的なホストメタデータを収集し、この情報を流出データのキャプションとして埋め込み、攻撃者に迅速な被害者プロファイリングを与えます。
次に、スクリプトはユーザーのAppDataディレクトリでTelegram DesktopおよびTelegram Desktop Beta tdataフォルダを検索します。これらはパスワードやSMSコードを必要としなくてもセッションをハイジャックするために使用できる長期間有効なMTProto認証キーを保存しています。
少なくとも1つのディレクトリが見つかった場合、スクリプトはTelegram.exeを強制終了してファイルロックを解放し、発見されたtdataフォルダをTEMPディレクトリのdiag.zipアーカイブに圧縮し、そのアーカイブをアップロード用に準備します。
流出のために、修正版(v2)はapi.telegram[.]org/bot<TOKEN>/sendDocumentへのTelegram Bot APIリクエストを正しく構築し、diag.zipをハードコードされたオペレータチャットに送信し、キャプションに被害者メタデータを含めます。
プライマリのmultipart/form‑dataアップロードが失敗した場合、WebClientフォールバックはまだファイルをプッシュし、キャプションを犠牲にして盗まれたアーカイブを保持します。
その後、スクリプトはdiag.zipを削除し、v2ではtdataが存在しない場合に「Telegramのインストールが見つかりません」という通知を送信し、すべての実行を到達可能性プローブに変えます。
調査者は2つのPastebin派生版を特定しました:アップロードルーチンが壊れた初期v1と、multipart sendDocument実装を修正し、基本的なエラーハンドリングを追加するv2「修正版」です。
難読化の欠如、クリアテキストボットトークンとチャットIDの存在、および永続化または配信メカニズムの欠如はすべて、ツールが広く展開されるのではなく検証段階にあることを示しています。
露出したトークンを介して抽出されたボットテレメトリは、観測期間中にPowerShellスティーラーに関連するsendDocumentイベントを表示せず、デスクトップモジュールが実の被害者に対してまだ使用されていなかったことを強化しています。
リンクされたウェブベースのTelegramスティーラー
同じTelegramボットチャネルはTelegram Webおよびブラウザのローカルストレージをターゲットとした別のウェブセッション盗難ツールからの通知も提供していました。
修正されたマルチパートアップロード:適切な「Invoke-RestMethod -Form」の使用法により、正しい「multipart/form-data」エンコーディングが生成されます。
オペレータのチャットから復旧されたメッセージは、dc3_auth_keyおよびdc4_auth_key値を含むJSONプレビュー、およびdcIdおよびdc4_auth_keyを含むaccount1などのアカウント単位の構造を表示しました。これらは認証されたTelegram Webセッションを再構築するのに十分です。
これらのキャプチャは192.168.137[.]131:5000のローカルHTTPコレクタとボット経由の切り詰められたサマリーの両方に送信され、コレクタインフラストラクチャがインターネットに露出したサーバーではなくプライベートテスト環境に限定されたことを確認しました。
均一なユーザーエージェント文字列、繰り返される認証キープレフィックス、継続的なセッションカウンター、およびプライベートLAN「VPS」の使用はすべて、有機的な被害者活動ではなく、少数のアカウントを使用した制御されたオペレータテストを示しています。
アナリストは、PowerShellデスクトップスティーラーとブラウザベースのウェブスティーラーは、便宜上Telegramボットを共有する独立した収集ツールであるが、統合されたアーキテクチャを持たないと結論付けました。
このツールの技術的な洗練さは限定的ですが、Telegramのボット APIとsendDocumentエンドポイントを使用して、単一のリクエストで認証情報アーカイブ全体を移動するインフォスティーラーの広範な傾向を反映しています。
ペーストサイトおよびTelegramインフラストラクチャの継続的な監視を通じてテスト段階でこのファミリをキャッチすることで、防御者にボットトークン、チャットID、および収集パターンなどの初期指標を提供し、ツールが大規模な展開に達する前に検出に変えることができます。
翻訳元: https://gbhackers.com/pastebin-powershell-script-exploited/
