Угон Telegram Desktop: стилер крадет сессии через tdata

Угон Telegram Desktop без пароля: почему tdata стала главной целью​

Исследователи описали новый стилер, который атакует не пароль и не SMS-код, а уже открытую сессию Telegram Desktop на Windows. Вредоносный скрипт маскируется под обновление Windows, размещается на Pastebin и нацелен на папку tdata, где Telegram Desktop хранит долгоживущие данные авторизации. Поэтому двухфакторная защита и SMS не спасают, если злоумышленник получил доступ к локальному профилю: ему не нужно заново входить в аккаунт, он пытается забрать готовую сессию. Пока инструмент выглядит сырым и не похож на массовую кампанию, но сама логика атаки опаснее конкретного образца: десктопный мессенджер часто считают защищенным, хотя его локальные файлы становятся прямой точкой захвата аккаунта.

Что нашли специалисты​

Специалисты по киберугрозам обнаружили PowerShell-скрипт, который распространялся через Pastebin под видом служебного обновления Windows. В публикациях исследователей он описан как вредоносный инструмент для кражи сессий Telegram Desktop и Telegram Web. Основная цель в десктопной версии - папка tdata, где лежат данные, позволяющие приложению не запрашивать пароль и код при каждом запуске. Для обычного пользователя это удобство, для злоумышленника - готовый ключ к аккаунту.

Опасность такой атаки в том, что она не выглядит как классический взлом через подбор пароля. Пользователь может иметь сложный пароль, включенную двухфакторную защиту и чистую историю входов, но если он сам запускает вредоносный скрипт на своем Windows-профиле, защитная модель меняется. Атакуется не вход в Telegram, а локальное хранилище уже доверенного клиента. Поэтому фраза «минуя пароли и SMS» здесь не преувеличение, а описание самой логики угона сессии.

Почему tdata так важна​

Папка tdata в Telegram Desktop нужна для нормальной работы приложения: она хранит данные локального профиля и позволяет мессенджеру открываться без повторной авторизации. Пользователь воспринимает это как удобство: запустил Telegram - сразу увидел чаты. Но для атакующего такая модель удобна по другой причине. Если получить доступ к этим данным, можно попытаться перенести или использовать сессию без знания пароля пользователя.

Именно поэтому tdata давно стала интересной целью для стилеров. Многие привыкли думать, что главный риск - фишинговый код из SMS или поддельная страница входа. Но десктопная сессия живет дольше и часто защищена слабее, чем сам аккаунт в голове пользователя. Компьютер может быть заражен через скрипт, архив, «патч», пиратскую программу, вредоносный лаунчер или файл из чата. После этого вопрос уже не в Telegram, а в том, насколько защищена локальная среда Windows.

Как работает схема на высоком уровне​

По описанию исследователей, вредоносный скрипт пытается остановить процесс Telegram Desktop, собрать данные из папки сессии, добавить базовую информацию о системе и передать архив оператору через инфраструктуру Telegram-бота. Детали реализации у разных версий могут отличаться, но общий смысл остается одним: сначала прервать работу клиента, затем забрать локальные данные авторизации, затем отправить их наружу.

В этой статье принципиально не приводятся команды, токены, фрагменты кода и воспроизводимые шаги. Для защиты достаточно понимать архитектуру риска: если пользователь запускает чужой скрипт с достаточными правами, вредонос получает доступ к локальным файлам профиля. После этого Telegram не обязательно должен быть взломан через серверную сторону. Достаточно украсть то, что сам десктопный клиент хранит на устройстве для удобного входа.

Почему пароли и SMS здесь не помогают​

Пароль и SMS-код защищают момент входа. Они нужны, когда человек или злоумышленник пытается авторизоваться заново. Но если на компьютере уже есть активная Telegram-сессия, локальный клиент хранит данные, чтобы не проходить этот процесс каждый раз. Стилер атакует именно этот слой. Он не спрашивает пароль и не перехватывает SMS, а пытается забрать след уже выполненной авторизации.

Это важный урок для всех десктопных мессенджеров. Двухфакторная защита снижает риск удаленного входа, но не отменяет риск зараженного устройства. Если компьютер скомпрометирован, атакующий может охотиться за сессиями, cookies, токенами, ключами, локальными базами и файлами приложений. Поэтому безопасность аккаунта не может быть сильнее безопасности машины, на которой этот аккаунт постоянно открыт.

Почему Pastebin стал удобной маскировкой​

Pastebin и похожие сервисы часто используются для публикации текстов, логов, заметок и скриптов. Это делает их удобной серой зоной: ссылка может выглядеть как техническая инструкция, патч, обновление, фикс ошибки или служебный фрагмент кода. Пользователь видит знакомый формат и не всегда воспринимает его как скачивание вредоноса. В случае с Telegram-стилером скрипт подавался как обновление Windows, что добавляло ему бытовой правдоподобности.

Главный риск здесь не в конкретном сайте, а в привычке запускать код из сети без проверки. Многие вредоносы уже не выглядят как отдельный exe-файл с подозрительной иконкой. Это может быть команда из инструкции, скрипт в буфере обмена, «лечилка» для ошибки, активатор, патч, архив или файл, который кажется безобидным. Для пользователя Telegram Desktop такая привычка особенно опасна: один запуск чужого скрипта может стоить всех рабочих чатов, каналов, контактов и переписок.

Почему образец выглядит сырым, но опасным​

По данным исследователей, найденный инструмент пока не выглядит как зрелая массовая кампания. Внутри заметны следы разработки, открытые элементы инфраструктуры, слабая маскировка и неаккуратная логика. Даже описание связанного бота выглядело слишком прямолинейно. Это создает ощущение любительского проекта, но не делает угрозу безобидной. Сырые инструменты часто быстро дорабатываются или копируются более аккуратными операторами.

Во второй версии, по сообщениям специалистов, автор улучшил обработку ошибок и добавил уведомления оператору даже в случаях, когда Telegram не найден на устройстве. Это значит, что каждый запуск превращается не только в попытку кражи, но и в проверку цели: есть ли мессенджер, какая система, что можно забрать, стоит ли возвращаться к этому пользователю. Такая эволюция типична для дешевых стилеров: сначала грубый прототип, затем более надежный сбор данных и удобные уведомления для оператора.

Почему Telegram-бот как канал вывода особенно ироничен​

Отдельная деталь - использование Telegram Bot API для передачи украденных данных оператору. Это не уникальная техника, но в данном случае она выглядит особенно показательно: мессенджер используется и как цель, и как транспорт. Для злоумышленника это удобно: Telegram-боты просты в настройке, быстро передают файлы, работают через привычную инфраструктуру и не требуют сложной панели управления.

Для защитников это тоже важный сигнал. Если в сети или на рабочей машине появляется подозрительная активность, связанная с запуском PowerShell, архивированием пользовательских папок и отправкой данных через мессенджеры или ботов, это повод для проверки. Современный стилер не всегда соединяется с экзотическим сервером в даркнете. Иногда он использует самые обычные публичные сервисы, потому что их трафик сложнее сразу отличить от нормального поведения пользователя.

Кому угрожает такой стилер​

В первую очередь рискуют пользователи, которые держат Telegram Desktop как рабочий центр: администраторы каналов, владельцы чатов, продавцы, журналисты, модераторы, специалисты поддержки, крипто-пользователи, участники закрытых сообществ и люди, у которых в мессенджере хранится критичная переписка. Угон такой сессии дает атакующему не только доступ к личным сообщениям, но и возможность читать закрытые каналы, писать от имени владельца, собирать контакты и развивать дальнейшие атаки через доверие.

Отдельная группа риска - пользователи пиратского софта и «патчей». Если человек регулярно запускает непроверенные скрипты, активаторы, сборки и инструменты из Telegram-чатов, форумов или файлообменников, он сам открывает дверь к локальному профилю. В таких условиях мессенджер становится не защищенным контейнером, а просто еще одной папкой на зараженной машине. Стилеру не нужно быть гениальным, если пользователь сам запускает его в доверенной среде.

Почему Windows-профиль стал слабым местом​

Windows удобен тем, что приложения хранят пользовательские данные в привычных директориях, а программы часто работают в одном пользовательском контексте. Но это же создает проблему: если вредонос запущен от имени пользователя, он может видеть многое из того, что видит сам пользователь. Десктопные мессенджеры, браузеры, криптокошельки, файловые менеджеры и облачные клиенты становятся частью одной зоны риска.

Поэтому защита Telegram Desktop не должна сводиться только к настройкам самого Telegram. Нужно думать о всей рабочей среде: кто имеет доступ к Windows-профилю, что запускается на машине, какие права у папок, есть ли отдельный аккаунт для работы, обновлена ли система, включена ли защита, нет ли привычки запускать чужие скрипты. Чем больше задач смешано в одном профиле, тем легче одному стилеру собрать сразу несколько ценных целей.

Что делать после подозрения на компрометацию​

Если есть подозрение, что на компьютере запускался вредоносный скрипт или неизвестный «патч», первым делом нужно считать рабочую сессию Telegram скомпрометированной. Безопаснее зайти с чистого устройства, проверить активные сессии, завершить неизвестные подключения, сменить пароль двухфакторной защиты, пересмотреть доступы к каналам и ботам, а также предупредить людей, которым могли написать от вашего имени. Важнее действовать быстро, чем спорить, был ли файл «точно вредоносным».

Сам зараженный компьютер нельзя считать надежным до проверки. Нужно отключить его от чувствительных аккаунтов, просканировать систему, удалить подозрительные задачи автозапуска, проверить расширения, временные папки, недавние загрузки и историю запусков. Если аккаунт критически важный, иногда проще и надежнее перенести работу на чистую систему, чем пытаться лечить среду, где неизвестно, что именно успел сделать вредонос. Главное - не открывать Telegram снова на той же машине до понимания ситуации.

Как снизить риск на обычном компьютере​

Базовая защита начинается с простой дисциплины: не запускать непонятные скрипты из сети, не ставить «патчи обновлений» из Pastebin, не копировать команды из случайных инструкций, не использовать пиратские активаторы и не открывать вложения от неизвестных людей. Для Telegram Desktop стоит держать отдельный рабочий профиль Windows, не смешивать его с играми, торрентами, экспериментами и сомнительным софтом. Чем меньше лишнего запускается рядом с мессенджером, тем ниже шанс кражи сессии.

Дополнительно имеет смысл ограничивать доступ к рабочим директориям на уровне системы, использовать актуальный антивирус или EDR, включать контроль запуска скриптов, следить за активными сессиями Telegram, регулярно обновлять клиент и систему. Для критически важных аккаунтов полезно разделять роли: одно устройство для публичной работы, другое - для администрирования, третье - для резервного доступа. Это не делает угон невозможным, но ломает самый удобный сценарий, когда один зараженный Windows-профиль открывает атакующему всё сразу.

Почему отдельная среда лучше одной мощной защиты​

Для серьезной работы главный принцип - разделение сред. Если Telegram используется для чувствительных задач, его лучше не держать на том же профиле, где запускаются случайные файлы, тестируются скрипты, скачиваются архивы и открываются сомнительные ссылки. Отдельная виртуальная машина, отдельный контейнер, отдельный пользователь или отдельное устройство снижают ущерб от ошибки. Даже если одна среда заражена, другая не должна автоматически отдавать все сессии и ключи.

Часть пользователей выбирает Linux-среды, изоляцию через виртуальные машины или специализированные схемы вроде Whonix для отдельных задач. Важно понимать смысл, а не бренд решения: чувствительный мессенджер должен жить отдельно от грязной повседневной среды. Если Telegram Desktop используется как рабочий центр, относиться к нему нужно не как к обычному чату, а как к ключу от кабинета, архива, контактов и репутации.

Почему двухфакторная защита всё равно нужна​

История с tdata не означает, что двухфакторная защита бесполезна. Она всё ещё защищает от части удаленных атак, повторной авторизации и попыток зайти в аккаунт с нового устройства. Проблема в другом: двухфакторная защита не должна быть единственной опорой. Если локальная сессия уже украдена, атакующий пытается обойти сам этап входа, который 2FA защищает.

Поэтому правильная модель защиты многослойная. Пароль и 2FA нужны для входа. Чистая операционная система нужна для защиты локальной сессии. Разделение сред нужно для снижения ущерба. Контроль активных сессий нужен для раннего обнаружения. Осторожность со скриптами нужна, чтобы не запустить атаку своими руками. Когда все эти слои работают вместе, стилеру становится заметно сложнее превратить один клик в полный угон аккаунта.

Почему эта история важна для PavRC​

Для PavRC тема важна не как очередная страшилка про Telegram, а как пример зрелой цифровой гигиены. У многих пользователей мессенджер давно стал не перепиской, а центром идентичности: там каналы, контакты, финансы, доступы, договоренности, медиа, документы и репутация. При этом люди продолжают относиться к десктопному клиенту как к обычной программе, которую можно держать рядом с любыми файлами и запускать на той же машине, где вчера открывался сомнительный архив.

Стилер tdata показывает слабое место этой привычки. Атакующему не всегда нужно ломать Telegram как сервис. Достаточно дождаться, пока пользователь сам запустит вредонос на своем компьютере. Поэтому безопасность мессенджера начинается не в настройках приложения, а в поведении пользователя: что он скачивает, что запускает, где хранит сессии, как разделяет рабочую и грязную среду, насколько быстро реагирует на подозрение компрометации.

Итог​

Новый Telegram-стилер для Windows опасен не уровнем технической сложности, а выбранной целью. Он не пытается угадывать пароль и не охотится за SMS-кодом, а идет к локальной сессии Telegram Desktop через tdata. Именно поэтому пользователь может ошибочно чувствовать себя защищенным: двухфакторная защита включена, пароль сложный, телефон под рукой, но десктопный клиент уже хранит долгоживущий ключ доступа на компьютере.

Главный вывод простой: нельзя запускать непонятные скрипты из сети и нельзя держать критичный Telegram в одной среде с хаотичным софтом. Для рабочих аккаунтов нужна отдельная чистая среда, контроль активных сессий, осторожность с файлами, ограничение прав и готовность быстро отзывать доступы при подозрении на заражение. Telegram Desktop удобен именно потому, что помнит пользователя. Но эта же память становится целью, если компьютер превращается в проходной двор для чужих скриптов.

---

Редакция PavRC