كشف باحثون في مجال الأمن السيبراني عن برنامج نصي خبيث من نوع PowerShell، تم نشره على منصة Pastebin، مصمم لسرقة بيانات جلسات Telegram بشكل سري من تطبيقات سطح المكتب والويب. تم تقديم هذا البرنامج النصي ضمن واجهة خداعية تحمل اسم “Windows Telemetry Update”.
يستهدف البرنامج النصي مواقع تخزين بيانات Telegram Desktop وإصداراته التجريبية، ويعمل على تجميعها في ملف مضغوط يرسل إلى المهاجم. وقد أظهرت التحليلات أن هذا البرنامج النصي يشترك في البنية التحتية مع أداة أخرى لسرقة جلسات الويب.
البرنامج النصي لسرقة جلسات Telegram
اكتشفت فرق التحليل الأمني وجود هذا البرنامج النصي بعد مراقبة مستمرة لمواقع نشر المعلومات غير القانونية. يمثل البرنامج النصي تهديداً ذو خطورة عالية نظراً لقدرته على سرقة بيانات حساسة دون أن يدرك المستخدم ذلك.
يعتمد البرنامج النصي على إخفاء نفسه كتحذيث لنظام ويندوز.
بعد تشغيله، يبدأ البرنامج النصي بجمع معلومات تعريفية عن الجهاز المصاب، مثل اسم المستخدم واسم الكمبيوتر وعنوان IP العام. بعد ذلك، ينتقل إلى هدفه الرئيسي وهو مجلدات تخزين بيانات Telegram Desktop.
تتمثل الآلية الرئيسية في البحث عن ملفات الجلسات داخل مجلدات Telegram Desktop، ثم يقوم بضغط هذه الملفات في أرشيف يحمل اسم “diag.zip” ويخزنه مؤقتاً في مجلد الملفات المؤقتة للمستخدم (TEMP).
رصد نسختين من البرنامج النصي
تم اكتشاف نسختين مختلفتين من البرنامج النصي على Pastebin، وكلاهما نشرا تحت نفس الحساب. الإصدار الأول (v1) كان يحتوي على خطأ أساسي في آلية الإرسال، مما أدى إلى عدم وصول الأرشيف إلى حساب المهاجم. أما الإصدار الثاني (v2) فقد قام المهاجم بتصحيح الخطأ فيه، مما جعله يعمل بكفاءة.
أتاح تاريخ النشر العام على Pastebin رؤية واضحة لعملية تطوير البرنامج النصي، بدءاً من النسخة التجريبية المعيبة وصولاً إلى النسخة الوظيفية. هذا يوفر نظرة نادرة على كيفية بناء واختبار أدوات سرقة الجلسات قبل نشرها بشكل فعلي.
مع ذلك، لم تتضمن أي من النسختين آليات متقدمة مثل التمويه أو الثبات على النظام أو التوزيع التلقائي. ووفقاً لخبراء الأمن، كان البرنامج النصي لا يزال في مرحلة الاختبار عند اكتشافه، وليس في حملة هجوم نشطة.
كيف يقوم البرنامج النصي بسرقة جلسة Telegram الخاصة بك
تبدأ سلسلة الإصابة فور قيام الضحية بتشغيل ملف PowerShell الخبيث يدوياً. يقوم البرنامج النصي بفتح مسارين استقصائيين في نفس الوقت: يستعلم عن واجهة برمجة تطبيقات Telegram Bot API مباشرة لسرد المهام الموجودة، ويسحب أي بيانات تتبع سابقة مخزنة في سجل رسائل الروبوت باستخدام أداة Matka.
بعد جمع البيانات الوصفية للجهاز، يتحقق البرنامج النصي من وجود تثبيتات Telegram Desktop (الإصدار المستقر والإصدار التجريبي) ضمن مسار APPDATA. يتم إدراج المسارات المطابقة في قائمة، ويستمر البرنامج النصي فقط في حال وجود مسار بيانات tdata واحد على الأقل.
بدلاً من ذلك، يقوم البرنامج بإرسال إشعار للمهاجم في كل مرة يتم فيها تشغيله، بغض النظر عن النتيجة، موضحاً “لم يتم العثور على تثبيت Telegram”.
يقوم البرنامج النصي بإنهاء عملية Telegram بالقوة لتحرير أي أقفال للملفات على مجلد tdata قبل بدء عملية الضغط. هذه التأخير لمدة ثانيتين يسمح بإتمام إنهاء العملية قبل تشغيل أمر Compress-Archive، وهو سلوك يشير إلى وعي المهاجم بسلوكيات قفل الملفات الخاصة بـ Telegram Desktop.
بمجرد أن يصبح الأرشيف جاهزاً، يتم استدعاء نقطة نهاية واجهة برمجة تطبيقات الروبوت api.telegram.org/bot{token}/sendDocument مع معرف الدردشة الخاص بالمهاجم، وبيانات الضحية الوصفية كتعليق توضيحي، وملف “diag.zip” كمستند.
في حال فشل هذه الطريقة، يضمن خيار احتياطي باستخدام WebClient UploadFile وصول الأرشيف إلى المهاجم، ولكنه يفقد ميزة التعليق التوضيحي. يختتم البرنامج النصي بحذف ملف diag.zip من القرص مباشرة بعد الرفع لإزالة أي آثار جنائية.
سرقة الجلسات عبر الويب
بشكل منفصل، يقوم مكون سرقة الجلسات عبر الويب بالتقاط حالة جلسات التخزين المحلي الخاصة بـ Telegram Web، وبشكل خاص مفاتيح المصادقة MTProto الخاصة بـ dcX_auth_key وهياكل الجلسة account1، باستخدام نفس قناة Telegram Bot المشتركة للاستخراج. يمكن للمهاجم الذي يمتلك هذه المفاتيح إعادة بناء الجلسات المعتمدة دون الحاجة إلى كلمة مرور الحساب أو التحقق عبر الرسائل القصيرة بعد الإعداد الأولي.
التوصيات الأمنية
يجب على فرق الأمن والمستخدمين الأفراد اتخاذ الخطوات التالية في حال الاشتباه بتشغيل هذا البرنامج النصي على نظامهم.
يجب إنهاء جميع جلسات Telegram النشطة فوراً من خلال إعدادات تطبيق Telegram، ثم الانتقال إلى الخصوصية والأمان، ثم الجلسات النشطة، واختيار إنهاء جميع الجلسات الأخرى.
يُنصح بتغيير كلمة مرور Telegram وتمكين المصادقة الثنائية إذا لم تكن مفعلة مسبقاً. يجب مراجعة حساب Telegram بحثاً عن أي نشاط غير مصرح به، أو رسائل غير عادية تم إرسالها من الحساب المتأثر، أو تغييرات في إعدادات الحساب.
ضع في اعتبارك أن أي معلومات حساسة تم مشاركتها سابقاً عبر Telegram قد تكون قد انكشفت، واتخذ الخطوات المناسبة لتأمين الحسابات ذات الصلة أو إخطار الأطراف المتأثرة.
على مستوى الشبكة، يُنصح بحظر النطاقات التالية عند مستوى البروكسي وجدار الحماية في البيئات التي لا يُسمح فيها باستخدام Telegram: api.telegram.org وweb.telegram.org. في البيئات التي يُسمح فيها باستخدام Telegram، يجب مراقبة استدعاءات واجهة برمجة التطبيقات sendDocument وsendMessage التي تنشأ من بيئات البرمجة النصية مثل PowerShell أو Python أو curl، حيث إن هذه الاستدعاءات نادرة للغاية في البيئات المؤسسية المشروعة ويجب التعامل معها فوراً.