Existem dezenas de maneiras de invadir uma conta do Telegram. Revelamos com frequência casos de phishing nos Miniaplicativos do Telegram, golpes usando bots, presentes e brindes, além de muitas outras táticas. Hoje, estamos analisando outro método de sequestro de conta: um método baseado em um script do PowerShell.
O script enganoso, chamado de “Atualização de telemetria do Windows”, na verdade serve como uma ferramenta para sequestrar sessões do Telegram. Ele coleta dados de computadores completamente indefesos e os envia aos invasores por meio de um bot do Telegram.
Um script malicioso contendo um malware de roubo de dados
Os cibercriminosos costumam usar scripts do PowerShell para baixar malware e coletar dados de forma oculta. Desta vez, os pesquisadores descobriram um script no Pastebin disfarçado de atualização comum do Windows. Na realidade, trata-se de um infostealer projetado para sequestrar dados de sessão do Telegram para Windows e permitir que hackers assumam o controle de contas sem senha nem código de verificação.
Mas, afinal, o que é um script do PowerShell? Pense nisso como um arquivo de texto repleto de comandos para um computador Windows. Em vez de uma pessoa gastar tempo clicando e executando tarefas manualmente, o computador segue essas instruções para fazer tudo automaticamente em questão de segundos.

Esse script do PowerShell rouba dados de sessão do Telegram para Windows, permitindo que hackers invadam contas sem usar uma senha nem códigos de verificação
Os pesquisadores logo identificaram um token de bot do Telegram e um ID de chat na parte superior do script, além de várias referências à pasta tdata. Essa pasta é onde o Telegram para Windows mantém as chaves de autorização usadas para fazer login dos usuários nos seus servidores. Se esses dados forem capturados por invasores, será possível acessar a conta do Telegram da vítima sem precisar de uma senha nem de um código de verificação. Os invasores, então, mantêm o acesso até que a vítima verifique suas sessões ativas no aplicativo e encerre manualmente as sessões suspeitas.
Como o malware de roubo de dados funciona
O malware chega ao computador da vítima disfarçado de script do PowerShell de atualização da telemetria do Windows. Assim que é executado, esse script reúne informações básicas do sistema: nome de usuário, nome do host e endereço IP público. Em seguida, ele verifica se o Telegram Desktop está instalado. Se estiver, o script força o encerramento do aplicativo para desbloquear os arquivos do Telegram para edição.
A partir daí, o resto é simples: o script compacta todo o conteúdo da pasta tdata em um diretório temporário, encaminha o arquivo compactado para os invasores e, então, exclui o arquivo do computador para ocultar seus rastros.
A boa notícia é que é provável que o malware de roubo de dados ainda não tenha comprometido nenhuma conta, pois não foram encontradas provas de transferências reais de dados. Parece que os pesquisadores detectaram esse script malicioso do PowerShell enquanto ele ainda estava na fase de teste do protótipo.
Outro sinal de alerta é seu nome bem suspeito. Os cibercriminosos normalmente usam nomes neutros para ocultar seus bots e aplicativos. Mas, nesse caso, quando os pesquisadores o identificaram, o bot estava sendo executado sob o nome aleatório afhbhfsdvfh_bot com uma descrição bastante honesta: Atacante do Telegram. Os pesquisadores observaram que, embora o bot provavelmente tenha sido submetido a testes funcionais, ele ainda não havia sido implementado em escala, o que explica o nome aleatório.
Como se defender contra scripts do PowerShell
A defesa contra esse malware de roubo de dados sem nome requer uma abordagem de segurança em camadas. Em primeiro lugar, é preciso entender como um script do PowerShell vai parar no seu PC. Isso geralmente ocorre por meio de anexos de e-mail maliciosos, vulnerabilidades de software, aplicativos infectados ou truques de engenharia social. É por isso que recomendamos a instalação de um pacote de segurança robusto no seu dispositivo e extrema cautela ao clicar em links e baixar arquivos.
- Tome cuidado com os downloads. Sempre verifique os sites que você usa para baixar arquivos. Opte por fontes oficiais e confiáveis. E lembre-se de que os canais do Telegram e do Discord, bem como sites duvidosos e criados apenas para golpes, definitivamente não se encaixam nessa descrição.
- Cuidado com links e anexos de e-mail. Lembre-se de que o e-mail continua sendo o método de entrega de malware favorito dos cibercriminosos. Os cibercriminosos podem enviar um script do PowerShell diretamente para sua caixa de entrada como anexo ou induzir você a clicar em um link que aciona um download automático.
- Mantenha seus aplicativos e SO atualizados. As vulnerabilidades de software podem surgir a qualquer momento, mas as correções geralmente são disponibilizadas rapidamente. Recomendamos instalar atualizações assim que elas forem disponibilizadas. Para facilitar as coisas, basta ativar as atualizações automáticas sempre que possível.
Instale o Kaspersky Premium em cada dispositivo onde você usa o Telegram. Nossa solução de segurança bloqueia malwares, anexos maliciosos, spam, tentativas de phishing e sites suspeitos. A assinatura do Kaspersky Premium inclui um gerenciador de senhas. Ele gera senhas fortes e exclusivas e as armazena com segurança, impede que você insira suas credenciais em sites falsos e é útil para aumentar a segurança do Telegram, que abordaremos a seguir.
Como proteger sua conta do Telegram
Para proteger sua conta do Telegram contra esses tipos de golpes de sequestro, recomendamos o seguinte:
- Monitore regularmente sua atividade no Telegram. Os hackers costumam roubar contas para o envio em massa de spam e para aplicar golpes. É uma boa ideia verificar seu histórico de conversas de vez em quando para verificar se não apareceram novas conversas ou mensagens que você não enviou.
- Encerre sessões não reconhecidas imediatamente. Se você suspeitar que foi vítima desse infostealer ou de qualquer outro ataque cibernético, encerre todas as outras sessões do Telegram o mais rápido possível acessando Configurações → Dispositivos → Encerrar todas as outras sessões.
Se sua conta do Telegram já foi invadida, você tem 24 horas para expulsar os invasores encerrando as sessões deles. Explicamos por que essa regra existe e mapeamos todas as formas possíveis de recuperar sua conta no nosso guia detalhado: O que fazer se sua conta do Telegram for hackeada?
Mas é essencial reforçar a segurança da sua conta. Primeiro, configure uma senha na nuvem acessando Configurações → Privacidade e segurança → Verificação em duas etapas. Uma senha comum não é suficiente; ela deve ser exclusiva e difícil de comprometer. Recomendamos ler nossa postagem sobre o assunto: Como criar uma senha inesquecível.
Melhor ainda, opte por chaves de acesso: uma tecnologia que não requer o uso de senhas e oferece proteção avançada contra vazamentos e phishing. Para configurar esse método de login, vá para Configurações → Privacidade e segurança → Chaves de acesso. A maneira mais fácil de gerenciar suas chaves de acesso é com o Kaspersky Password Manager. Nosso aplicativo multiplataforma garante que você possa fazer login no Telegram usando suas chaves de acesso salvas, esteja no Windows, Android, iOS ou macOS.
Para saber mais sobre como os cibercriminosos podem invadir sua conta do Telegram e como protegê-la, confira nossas outras postagens:
- Golpes no Telegram com bots, brindes e criptomoedas
- Sequestro de contas do WhatsApp e Telegram: como se proteger contra golpes
- Temos uma assinatura do Telegram Premium de “presente” para você
- O que fazer se sua conta do Telegram for hackeada?
- Phishing nos Miniaplicativos do Telegram: o que o papakha do Habib tem a ver com isso?
Telegram
Dicas