Исследователи выявили новый экспериментальный стилер, который ориентирован на кражу сессий десктопной версии Telegram. В отличие от распространённых вредоносных программ, он не собирает пароли и cookies браузеров, а пытается получить доступ к данным авторизации мессенджера.
По данным специалистов, зловред распространялся через PowerShell-скрипт, размещённый на Pastebin под видом исправленного обновления Windows. Аналитикам удалось изучить раннюю версию программы, в которой сохранились открытые данные Telegram-бота, идентификатор чата и следы отладки.
После запуска скрипт собирает сведения о системе: имя пользователя, название устройства и публичный IP-адрес. Основной целью являются папки tdata Telegram Desktop и Telegram Desktop Beta в каталоге AppData. В них содержатся ключи аутентификации, которые могут использоваться для доступа к активной сессии без ввода пароля и подтверждающих кодов.
Если нужные файлы обнаруживаются, программа завершает процесс Telegram.exe, архивирует данные и отправляет их через Telegram Bot API. Также предусмотрен резервный способ передачи информации.
Специалисты отмечают, что признаков массового распространения пока не зафиксировано. Скрипт не имеет сложной маскировки, механизмов закрепления в системе и полноценной схемы доставки. По оценке исследователей, речь может идти о тестовой разработке, а не о масштабной вредоносной кампании.