Se ha identificado una campaña maliciosa que utiliza un script de PowerShell alojado en Pastebin para robar sesiones activas de Telegram Desktop y Telegram Web. El script se distribuye mediante ingeniería social, haciéndose pasar por una supuesta actualización del sistema operativo Windows, con el objetivo de inducir a los usuarios a ejecutarlo manualmente.
Una vez ejecutado, el código recopila información del sistema y extrae archivos de sesión de Telegram, los cuales son comprimidos y exfiltrados a través de la API de bots de Telegram. Esto permite a los atacantes secuestrar sesiones activas sin requerir credenciales ni autenticación adicional.
Descripción técnica
El script malicioso presenta las siguientes capacidades:
- Ejecución manual mediante engaño (ingeniería social)
- Recolección de información del sistema (hostname, usuario, IP)
- Búsqueda y acceso a directorios de sesión de Telegram (
tdata) - Finalización del proceso de Telegram para liberar archivos bloqueados
- Compresión de datos en archivos
.zip - Exfiltración mediante la Telegram Bot API (
sendDocument,sendMessage)
El uso de servicios públicos como Pastebin facilita la distribución del código sin necesidad de infraestructura propia, dificultando su bloqueo inicial.
Impacto
La explotación de este script puede resultar en:
- Secuestro de sesiones de Telegram (session hijacking)
- Acceso no autorizado a mensajes, contactos y archivos
- Suplantación de identidad dentro de la plataforma.
- Exfiltración de información sensible.
- Persistencia del atacante mientras la sesión siga activa.
Solución
- Finalizar todas las sesiones activas de Telegram desde la configuración de seguridad.
- Revocar accesos sospechosos y cerrar sesiones desconocidas.
- Activar verificación en dos pasos (2FA) en Telegram.
- Eliminar cualquier script o archivo descargado relacionado con la ejecución sospechosa.
- Ejecutar análisis con herramientas EDR/antimalware.
Recomendaciones
Bloquee los dominios api.telegram.org y web.telegram.org en proxys o firewalls cuando no se permitan aplicaciones Telegram; en entornos autorizados, monitoree llamadas API sendDocument y sendMessage originadas desde entornos de scripting como PowerShell o Python para detección temprana de actividad sospechosa.