Diebstahl von Telegram-Accounts – auch ohne Passwort und Bestätigungscode

Hacker haben sich ein PowerShell-Skript ausgedacht, mit dem sie Telegram-Sitzungen kapern und auf fremde Konten zugreifen können. Ein Passwort oder einen Bestätigungscode brauchen sie dafür nicht. Hier erfährst du, wie der Angriff funktioniert und was du für deine Sicherheit tun kannst.

Diebstahl von Telegram-Konten mithilfe von PowerShell-Skripten

Hacker haben Dutzende von Werkzeugen, mit denen sie fremde Telegram-Konten übernehmen können. Mit vielen dieser Taktiken haben wir uns schon befasst: Phishing in Telegram-Mini-Apps, Betrug mit Bots, Schwindel mit Geschenken und Gewinnspielen. Jetzt gibt es eine neue Methode, mit der Accounts gestohlen werden und bei der ein PowerShell-Skript eingesetzt wird.

Das Skript trägt den harmlosen Namen „Windows Telemetry Update“, kann aber Telegram-Sitzungen kapern. Dann sammelt es Daten von wehrlosen Computern und leitet sie über einen Telegram-Bot an die Angreifer weiter.

Ein böse Sache: Skript + Stealer

Cyberkriminelle setzen häufig auf PowerShell-Skripte, um heimlich Malware herunterzuladen oder Daten zu sammeln. Im April entdeckten Forscher bei Pastebin ein Skript, das sich als routinemäßiges Windows-Update ausgab. In Wirklichkeit war es jedoch ein Infostealer, der Sitzungsdaten aus Telegram für Windows stiehlt, mit denen Hacker Benutzerkonten übernehmen können. Einfach so, ohne Passwort oder SMS-Bestätigungscode.

Was ist ein PowerShell-Skript? Man kann es sich als eine Textdatei vorstellen, die Befehle für einen Windows-Computer enthält. Aufgaben, die ein Nutzer normalerweise mühevoll und mit vielen Mausklicks erledigt, werden anhand dieser Kurzanleitung in Sekundenbruchteilen automatisch vom Computer ausgeführt.

Dieses PowerShell-Skript stiehlt Sitzungsdaten aus Telegram für Windows. Damit können Hacker Konten kapern. Ein Passwort oder einen Bestätigungscode brauchen sie dafür nicht

Dieses PowerShell-Skript stiehlt Sitzungsdaten aus Telegram für Windows. Damit können Hacker Konten kapern. Ein Passwort oder einen Bestätigungscode brauchen sie dafür nicht

In den ersten Zeilen des Skripts entdeckten die Forscher einen Telegram-Bot-Token, eine Chat-ID sowie mehrere Verweise auf den Ordner tdata. In diesem Ordner speichert Telegram für Windows die Autorisierungsschlüssel, die zur Anmeldung bei Telegram-Servern benötigt werden. Wenn Angreifer diese Daten erbeuten, können sie ohne Passwort und Bestätigungscode auf das Telegram-Konto des Opfers zugreifen. Den Zugriff behalten die Hacker, bis das Opfer die aktiven Sitzungen in der App überprüft und verdächtige Sitzungen manuell beendet.

So funktioniert der Stealer

Die Malware ist als PowerShell-Skript für ein Windows-Telemetrie-Update getarnt und gelangt unter dieser Maske auf den Computer des Opfers. Sobald sie gestartet wird, sammelt sie wichtige Systeminformationen (Benutzername, Hostname und öffentliche IP-Adresse). Anschließend prüft sie, ob Telegram-Desktop installiert ist. Wenn ja, erzwingt das Skript, dass die App geschlossen wird. Dann können die Telegram-Dateien bearbeitet werden.

Der Rest ist ein Kinderspiel: Das Skript komprimiert den gesamten Inhalt des Ordners tdata in einem temporären Verzeichnis, leitet das Archiv direkt an die Angreifer weiter und löscht die Datei vom Computer, um keine Spuren zu hinterlassen.

Die gute Nachricht: Bisher hat der Stealer wahrscheinlich noch keine Konten kompromittiert. Zumindest konnten die Experten noch keine Hinweise auf eine tatsächliche Datenübertragung finden. Das bösartige PowerShell-Skript wurde offenbar während der Testphase des Prototyps entdeckt.

Für diese Theorie spricht auch der verdächtige Name. Normalerweise verwenden Cyberkriminelle neutrale Namen, um bösartige Bots und Apps zu tarnen. Als der Bot entdeckt wurde, lief er unter dem seltsamen Namen afhbhfsdvfh_bot und verriet sich durch die offenherzige Beschreibung Telegram attacker. Die Erklärung der Forscher: Vermutlich liefen damals Funktionstests für den Bot, er wurde aber noch nicht in großem Umfang verbreitet. Daher der verräterische Name.

So schützt du dich vor PowerShell-Skripten

Wer diesen namenlosen Dieb unschädlich machen will, benötigt einen mehrschichtigen Sicherheitsansatz. Dazu muss man erst einmal wissen, wie PowerShell-Skripte auf einen PC gelangen. Normalerweise schleichen sie sich klammheimlich ein – über bösartige E-Mail-Anhänge, Softwareschwachstellen, infizierte Apps oder Social-Engineering-Tricks. Unsere Empfehlung: Installiere eine robuste Sicherheitssuite  auf deinem Gerät und sei vorsichtig, auf welche Links du klickst und welche Dateien du herunterlädst.

  • Vorsicht bei Downloads! Wenn du Dateien herunterladen willst, überprüfe die Website immer ganz genau. Halte dich an vertrauenswürdige, offizielle Quellen. Telegram- und Discord-Kanäle sowie zweifelhafte, kurzlebige Websites gehören definitiv nicht zu dieser Kategorie.
  • Vorsicht mit E-Mail-Links und Dateianhängen! E-Mails sind bei Cyberkriminellen nach wie vor eine beliebte Versandmethode. Ein angehängtes PowerShell-Skript kann direkt in deinem Posteingang landen. Oder eine E-Mail kann einen Link enthalten, der einen automatischen Download auslösen kann.
  • Apps und Betriebssystem regelmäßig updaten! Schwachstellen in Programmen tauchen ganz unerwartet auf. Passende Patches erscheinen aber gewöhnlich sehr schnell. Wir empfehlen, Updates zu installieren, sobald sie verfügbar sind. Das geht am einfachsten, indem du automatische Updates aktivierst.

Unser heißer Tipp: Installiere Kaspersky Premiumauf allen Geräten, auf denen du Telegram nutzt. Unsere Sicherheitslösung blockiert Malware, bösartige Anhänge, Spam, Phishing und fragwürdige Websites. Das Abonnement für Kaspersky Premium enthält zusätzlich einen Password Manager. Er generiert und speichert sichere und einmalige Passwörter, verhindert die Eingabe von Anmeldedaten auf gefälschten Websites und bietet erhöhte Sicherheit für Telegram (dazu gleich mehr).

So schützt du dein Telegram-Konto

Was kannst du tun, damit dein Telegram-Konto vor derartigen Hackerangriffen sicher ist? Unsere Empfehlungen:

  • Deine Telegram-Aktivitäten regelmäßig überwachen! Hacker stehlen fremde Konten, um Spam zu verbreiten und Betrügereien zu starten. Deshalb solltest du deinen Chat-Verlauf gelegentlich überprüfen und nachsehen, ob es keine neuen Unterhaltungen oder Nachrichten gibt, die nicht von dir stammen.
  • Unbekannte Sitzungen sofort beenden! Wenn du den Verdacht hast, dass du diesem Infostealer oder einem anderen Cyberangriff zum Opfer gefallen bist, beende so schnell wie möglich alle anderen Telegram-Sitzungen (EinstellungenGeräteAlle anderen Sitzungen beenden).

Wenn dein Telegram-Konto bereits gehackt wurde, hast du in der Regel 24 Stunden Zeit, um die Sitzungen der Angreifer zu beenden. Warum es diese Regel gibt und wie man einen gestohlenen Account wiederherstellen kann, erfährst du hier: Telegram-Konto gehackt – was nun?

Du solltest dein Telegram-Konto aber schon jetzt sicherer machen. Lege zunächst ein Cloud-Passwort fest. Dazu gehst du zu EinstellungenPrivatsphäre und SicherheitZweistufige Bestätigung. Aber bitte kein beliebiges Passwort – es muss einzigartig und unhackbar sein. Wie das geht, erfährst du in unserem Artikel Ein wirklich unvergessliches Passwort.

Noch besser: Wechsle zu Passkeys, einer passwortlosen Technologie, die erstklassigen Schutz vor Datenlecks und Phishing bietet. In Telegram richtest du diese Anmeldemethode hier ein: EinstellungenPrivatsphäre und SicherheitPasskeys. Passkeys kannst du ganz einfach mit Kaspersky Password Manager verwalten. Unsere plattformübergreifende App sorgt dafür, dass du dich unter Windows, Android, iOS und macOS problemlos mit deinen gespeicherten Passkeys bei Telegram anmelden kannst.

Hier sind andere Artikel über Cyberkriminelle, die Telegram-Konten stehlen und sperren können:

Tipps

In weniger als einer Minute geknackt: (fast) jedes zweite Passwort

Wir haben unsere Studie von vor zwei Jahren über die Möglichkeit, Passwörter aus der realen Welt zu knacken, die im Darknet preisgegeben wurden, überarbeitet. Die Ergebnisse sind ernüchternd: Fast jedes zweite Passwort lässt sich in weniger als einer Minute knacken, bei drei von fünf genügt weniger als eine Stunde. Wie können wir uns von unsicheren Passwörtern frei machen?