Hacker haben Dutzende von Werkzeugen, mit denen sie fremde Telegram-Konten übernehmen können. Mit vielen dieser Taktiken haben wir uns schon befasst: Phishing in Telegram-Mini-Apps, Betrug mit Bots, Schwindel mit Geschenken und Gewinnspielen. Jetzt gibt es eine neue Methode, mit der Accounts gestohlen werden und bei der ein PowerShell-Skript eingesetzt wird.
Das Skript trägt den harmlosen Namen „Windows Telemetry Update“, kann aber Telegram-Sitzungen kapern. Dann sammelt es Daten von wehrlosen Computern und leitet sie über einen Telegram-Bot an die Angreifer weiter.
Ein böse Sache: Skript + Stealer
Cyberkriminelle setzen häufig auf PowerShell-Skripte, um heimlich Malware herunterzuladen oder Daten zu sammeln. Im April entdeckten Forscher bei Pastebin ein Skript, das sich als routinemäßiges Windows-Update ausgab. In Wirklichkeit war es jedoch ein Infostealer, der Sitzungsdaten aus Telegram für Windows stiehlt, mit denen Hacker Benutzerkonten übernehmen können. Einfach so, ohne Passwort oder SMS-Bestätigungscode.
Was ist ein PowerShell-Skript? Man kann es sich als eine Textdatei vorstellen, die Befehle für einen Windows-Computer enthält. Aufgaben, die ein Nutzer normalerweise mühevoll und mit vielen Mausklicks erledigt, werden anhand dieser Kurzanleitung in Sekundenbruchteilen automatisch vom Computer ausgeführt.

Dieses PowerShell-Skript stiehlt Sitzungsdaten aus Telegram für Windows. Damit können Hacker Konten kapern. Ein Passwort oder einen Bestätigungscode brauchen sie dafür nicht
In den ersten Zeilen des Skripts entdeckten die Forscher einen Telegram-Bot-Token, eine Chat-ID sowie mehrere Verweise auf den Ordner tdata. In diesem Ordner speichert Telegram für Windows die Autorisierungsschlüssel, die zur Anmeldung bei Telegram-Servern benötigt werden. Wenn Angreifer diese Daten erbeuten, können sie ohne Passwort und Bestätigungscode auf das Telegram-Konto des Opfers zugreifen. Den Zugriff behalten die Hacker, bis das Opfer die aktiven Sitzungen in der App überprüft und verdächtige Sitzungen manuell beendet.
So funktioniert der Stealer
Die Malware ist als PowerShell-Skript für ein Windows-Telemetrie-Update getarnt und gelangt unter dieser Maske auf den Computer des Opfers. Sobald sie gestartet wird, sammelt sie wichtige Systeminformationen (Benutzername, Hostname und öffentliche IP-Adresse). Anschließend prüft sie, ob Telegram-Desktop installiert ist. Wenn ja, erzwingt das Skript, dass die App geschlossen wird. Dann können die Telegram-Dateien bearbeitet werden.
Der Rest ist ein Kinderspiel: Das Skript komprimiert den gesamten Inhalt des Ordners tdata in einem temporären Verzeichnis, leitet das Archiv direkt an die Angreifer weiter und löscht die Datei vom Computer, um keine Spuren zu hinterlassen.
Die gute Nachricht: Bisher hat der Stealer wahrscheinlich noch keine Konten kompromittiert. Zumindest konnten die Experten noch keine Hinweise auf eine tatsächliche Datenübertragung finden. Das bösartige PowerShell-Skript wurde offenbar während der Testphase des Prototyps entdeckt.
Für diese Theorie spricht auch der verdächtige Name. Normalerweise verwenden Cyberkriminelle neutrale Namen, um bösartige Bots und Apps zu tarnen. Als der Bot entdeckt wurde, lief er unter dem seltsamen Namen afhbhfsdvfh_bot und verriet sich durch die offenherzige Beschreibung Telegram attacker. Die Erklärung der Forscher: Vermutlich liefen damals Funktionstests für den Bot, er wurde aber noch nicht in großem Umfang verbreitet. Daher der verräterische Name.
So schützt du dich vor PowerShell-Skripten
Wer diesen namenlosen Dieb unschädlich machen will, benötigt einen mehrschichtigen Sicherheitsansatz. Dazu muss man erst einmal wissen, wie PowerShell-Skripte auf einen PC gelangen. Normalerweise schleichen sie sich klammheimlich ein – über bösartige E-Mail-Anhänge, Softwareschwachstellen, infizierte Apps oder Social-Engineering-Tricks. Unsere Empfehlung: Installiere eine robuste Sicherheitssuite auf deinem Gerät und sei vorsichtig, auf welche Links du klickst und welche Dateien du herunterlädst.
- Vorsicht bei Downloads! Wenn du Dateien herunterladen willst, überprüfe die Website immer ganz genau. Halte dich an vertrauenswürdige, offizielle Quellen. Telegram- und Discord-Kanäle sowie zweifelhafte, kurzlebige Websites gehören definitiv nicht zu dieser Kategorie.
- Vorsicht mit E-Mail-Links und Dateianhängen! E-Mails sind bei Cyberkriminellen nach wie vor eine beliebte Versandmethode. Ein angehängtes PowerShell-Skript kann direkt in deinem Posteingang landen. Oder eine E-Mail kann einen Link enthalten, der einen automatischen Download auslösen kann.
- Apps und Betriebssystem regelmäßig updaten! Schwachstellen in Programmen tauchen ganz unerwartet auf. Passende Patches erscheinen aber gewöhnlich sehr schnell. Wir empfehlen, Updates zu installieren, sobald sie verfügbar sind. Das geht am einfachsten, indem du automatische Updates aktivierst.
Unser heißer Tipp: Installiere Kaspersky Premiumauf allen Geräten, auf denen du Telegram nutzt. Unsere Sicherheitslösung blockiert Malware, bösartige Anhänge, Spam, Phishing und fragwürdige Websites. Das Abonnement für Kaspersky Premium enthält zusätzlich einen Password Manager. Er generiert und speichert sichere und einmalige Passwörter, verhindert die Eingabe von Anmeldedaten auf gefälschten Websites und bietet erhöhte Sicherheit für Telegram (dazu gleich mehr).
So schützt du dein Telegram-Konto
Was kannst du tun, damit dein Telegram-Konto vor derartigen Hackerangriffen sicher ist? Unsere Empfehlungen:
- Deine Telegram-Aktivitäten regelmäßig überwachen! Hacker stehlen fremde Konten, um Spam zu verbreiten und Betrügereien zu starten. Deshalb solltest du deinen Chat-Verlauf gelegentlich überprüfen und nachsehen, ob es keine neuen Unterhaltungen oder Nachrichten gibt, die nicht von dir stammen.
- Unbekannte Sitzungen sofort beenden! Wenn du den Verdacht hast, dass du diesem Infostealer oder einem anderen Cyberangriff zum Opfer gefallen bist, beende so schnell wie möglich alle anderen Telegram-Sitzungen (Einstellungen → Geräte → Alle anderen Sitzungen beenden).
Wenn dein Telegram-Konto bereits gehackt wurde, hast du in der Regel 24 Stunden Zeit, um die Sitzungen der Angreifer zu beenden. Warum es diese Regel gibt und wie man einen gestohlenen Account wiederherstellen kann, erfährst du hier: Telegram-Konto gehackt – was nun?
Du solltest dein Telegram-Konto aber schon jetzt sicherer machen. Lege zunächst ein Cloud-Passwort fest. Dazu gehst du zu Einstellungen → Privatsphäre und Sicherheit → Zweistufige Bestätigung. Aber bitte kein beliebiges Passwort – es muss einzigartig und unhackbar sein. Wie das geht, erfährst du in unserem Artikel Ein wirklich unvergessliches Passwort.
Noch besser: Wechsle zu Passkeys, einer passwortlosen Technologie, die erstklassigen Schutz vor Datenlecks und Phishing bietet. In Telegram richtest du diese Anmeldemethode hier ein: Einstellungen → Privatsphäre und Sicherheit → Passkeys. Passkeys kannst du ganz einfach mit Kaspersky Password Manager verwalten. Unsere plattformübergreifende App sorgt dafür, dass du dich unter Windows, Android, iOS und macOS problemlos mit deinen gespeicherten Passkeys bei Telegram anmelden kannst.
Hier sind andere Artikel über Cyberkriminelle, die Telegram-Konten stehlen und sperren können:
Telegram