{"id":33678,"date":"2026-07-01T11:12:25","date_gmt":"2026-07-01T09:12:25","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33678"},"modified":"2026-06-30T17:14:07","modified_gmt":"2026-06-30T15:14:07","slug":"telegram-no-password-session-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/telegram-no-password-session-stealer\/33678\/","title":{"rendered":"Diebstahl von Telegram-Accounts \u2013 auch ohne Passwort und Best\u00e4tigungscode"},"content":{"rendered":"<p>Hacker haben Dutzende von Werkzeugen, mit denen sie fremde Telegram-Konten \u00fcbernehmen k\u00f6nnen. Mit vielen dieser Taktiken haben wir uns schon befasst: <a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\">Phishing in Telegram-Mini-Apps<\/a>, <a href=\"https:\/\/www.kaspersky.de\/blog\/phishing-and-scam-in-telegram-2025\/32578\/\" target=\"_blank\" rel=\"noopener\">Betrug mit Bots, Schwindel mit Geschenken und Gewinnspielen<\/a>. Jetzt gibt es eine neue Methode, mit der Accounts gestohlen werden und bei der ein PowerShell-Skript eingesetzt wird.<\/p>\n<p>Das Skript tr\u00e4gt den harmlosen Namen \u201eWindows Telemetry Update\u201c, kann aber Telegram-Sitzungen kapern. Dann sammelt es Daten von <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">wehrlosen<\/a>\u00a0Computern und leitet sie \u00fcber einen Telegram-Bot an die Angreifer weiter.<\/p>\n<h2>Ein b\u00f6se Sache: Skript + Stealer<\/h2>\n<p>Cyberkriminelle setzen h\u00e4ufig auf PowerShell-Skripte, um heimlich Malware herunterzuladen oder Daten zu sammeln. Im April <a href=\"https:\/\/flare.io\/learn\/resources\/blog\/telegram-session-stealerpastebin-hosted-powershell-script-targets-desktop-web-sessions\" target=\"_blank\" rel=\"noopener nofollow\">entdeckten<\/a> Forscher bei Pastebin ein Skript, das sich als routinem\u00e4\u00dfiges Windows-Update ausgab. In Wirklichkeit war es jedoch ein Infostealer, der Sitzungsdaten aus Telegram f\u00fcr Windows stiehlt, mit denen Hacker Benutzerkonten \u00fcbernehmen k\u00f6nnen. Einfach so, ohne Passwort oder SMS-Best\u00e4tigungscode.<\/p>\n<blockquote><p>Was ist ein PowerShell-Skript? Man kann es sich als eine Textdatei vorstellen, die Befehle f\u00fcr einen Windows-Computer enth\u00e4lt. Aufgaben, die ein Nutzer normalerweise m\u00fchevoll und mit vielen Mausklicks erledigt, werden anhand dieser Kurzanleitung in Sekundenbruchteilen automatisch vom Computer ausgef\u00fchrt.<\/p><\/blockquote>\n<div id=\"attachment_33680\" style=\"width: 1411px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/06\/30160431\/telegram-no-password-session-stealer-01.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-33680\" class=\"wp-image-33680 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2026\/06\/30160431\/telegram-no-password-session-stealer-01.png\" alt=\"Dieses PowerShell-Skript stiehlt Sitzungsdaten aus Telegram f\u00fcr Windows. Damit k\u00f6nnen Hacker Konten kapern. Ein Passwort oder einen Best\u00e4tigungscode brauchen sie daf\u00fcr nicht\" width=\"1401\" height=\"874\"><\/a><p id=\"caption-attachment-33680\" class=\"wp-caption-text\">Dieses PowerShell-Skript stiehlt Sitzungsdaten aus Telegram f\u00fcr Windows. Damit k\u00f6nnen Hacker Konten kapern. Ein Passwort oder einen Best\u00e4tigungscode brauchen sie daf\u00fcr nicht<\/p><\/div>\n<p>In den ersten Zeilen des Skripts entdeckten die Forscher einen Telegram-Bot-Token, eine Chat-ID sowie mehrere Verweise auf den Ordner <em>tdata<\/em>. In diesem Ordner speichert Telegram f\u00fcr Windows die Autorisierungsschl\u00fcssel, die zur Anmeldung bei Telegram-Servern ben\u00f6tigt werden. Wenn Angreifer diese Daten erbeuten, k\u00f6nnen sie ohne Passwort und Best\u00e4tigungscode auf das Telegram-Konto des Opfers zugreifen. Den Zugriff behalten die Hacker, bis das Opfer die aktiven Sitzungen in der App \u00fcberpr\u00fcft und verd\u00e4chtige Sitzungen manuell beendet.<\/p>\n<h2>So funktioniert der Stealer<\/h2>\n<p>Die Malware ist als PowerShell-Skript f\u00fcr ein Windows-Telemetrie-Update getarnt und gelangt unter dieser Maske auf den Computer des Opfers. Sobald sie gestartet wird, sammelt sie wichtige Systeminformationen (Benutzername, Hostname und \u00f6ffentliche IP-Adresse). Anschlie\u00dfend pr\u00fcft sie, ob Telegram-Desktop installiert ist. Wenn ja, erzwingt das Skript, dass die App geschlossen wird. Dann k\u00f6nnen die Telegram-Dateien bearbeitet werden.<\/p>\n<p>Der Rest ist ein Kinderspiel: Das Skript komprimiert den gesamten Inhalt des Ordners <em>tdata<\/em> in einem tempor\u00e4ren Verzeichnis, leitet das Archiv direkt an die Angreifer weiter und l\u00f6scht die Datei vom Computer, um keine Spuren zu hinterlassen.<\/p>\n<p>Die gute Nachricht: Bisher hat der Stealer wahrscheinlich noch keine Konten kompromittiert. Zumindest konnten die Experten noch keine Hinweise auf eine tats\u00e4chliche Daten\u00fcbertragung finden. Das b\u00f6sartige PowerShell-Skript wurde offenbar w\u00e4hrend der Testphase des Prototyps entdeckt.<\/p>\n<p>F\u00fcr diese Theorie spricht auch der verd\u00e4chtige Name. Normalerweise verwenden Cyberkriminelle neutrale Namen, um b\u00f6sartige Bots und Apps zu tarnen. Als der Bot entdeckt wurde, lief er unter dem seltsamen Namen <em>afhbhfsdvfh_bot<\/em> und verriet sich durch die offenherzige Beschreibung <em>Telegram attacker<\/em>. Die Erkl\u00e4rung der Forscher: Vermutlich liefen damals Funktionstests f\u00fcr den Bot, er wurde aber noch nicht in gro\u00dfem Umfang verbreitet. Daher der verr\u00e4terische Name.<\/p>\n<h2>So sch\u00fctzt du dich vor PowerShell-Skripten<\/h2>\n<p>Wer diesen namenlosen Dieb unsch\u00e4dlich machen will, ben\u00f6tigt einen mehrschichtigen Sicherheitsansatz. Dazu muss man erst einmal wissen, wie PowerShell-Skripte auf einen PC gelangen. Normalerweise schleichen sie sich klammheimlich ein \u2013 \u00fcber b\u00f6sartige E-Mail-Anh\u00e4nge, Softwareschwachstellen, infizierte Apps oder Social-Engineering-Tricks. Unsere Empfehlung: Installiere eine <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">robuste Sicherheitssuite <\/a>\u00a0auf deinem Ger\u00e4t und sei vorsichtig, auf welche Links du klickst und welche Dateien du herunterl\u00e4dst.<\/p>\n<ul>\n<li><strong>Vorsicht bei Downloads!<\/strong> Wenn du Dateien herunterladen willst, \u00fcberpr\u00fcfe die Website immer ganz genau. Halte dich an vertrauensw\u00fcrdige, offizielle Quellen. Telegram- und <a href=\"https:\/\/www.kaspersky.de\/blog\/hijacked-discord-invite-links-for-multi-stage-malware-delivery\/32538\/\" target=\"_blank\" rel=\"noopener\">Discord<\/a>-Kan\u00e4le sowie zweifelhafte, kurzlebige Websites geh\u00f6ren definitiv nicht zu dieser Kategorie.<\/li>\n<li><strong>Vorsicht mit E-Mail-Links und Dateianh\u00e4ngen! <\/strong>E-Mails sind bei Cyberkriminellen nach wie vor eine beliebte Versandmethode. Ein angeh\u00e4ngtes PowerShell-Skript kann direkt in deinem Posteingang landen. Oder eine E-Mail kann einen Link enthalten, der einen automatischen Download ausl\u00f6sen kann.<\/li>\n<li><strong>Apps und Betriebssystem regelm\u00e4\u00dfig updaten! <\/strong>Schwachstellen in Programmen tauchen ganz unerwartet auf. Passende Patches erscheinen aber gew\u00f6hnlich sehr schnell. Wir empfehlen, Updates zu installieren, sobald sie verf\u00fcgbar sind. Das geht am einfachsten, indem du automatische Updates aktivierst.<\/li>\n<\/ul>\n<p>Unser hei\u00dfer Tipp: Installiere <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>auf allen Ger\u00e4ten, auf denen du Telegram nutzt. Unsere Sicherheitsl\u00f6sung blockiert Malware, b\u00f6sartige Anh\u00e4nge, Spam, Phishing und fragw\u00fcrdige Websites. Das Abonnement f\u00fcr <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> enth\u00e4lt zus\u00e4tzlich einen <a href=\"https:\/\/www.kaspersky.de\/password-manager?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Password Manager<\/a>. Er generiert und speichert sichere und einmalige Passw\u00f6rter, verhindert die Eingabe von Anmeldedaten auf gef\u00e4lschten Websites und bietet erh\u00f6hte Sicherheit f\u00fcr Telegram (dazu gleich mehr).<\/p>\n<h2>So sch\u00fctzt du dein Telegram-Konto<\/h2>\n<p>Was kannst du tun, damit dein Telegram-Konto vor derartigen Hackerangriffen sicher ist? Unsere Empfehlungen:<\/p>\n<ul>\n<li><strong>Deine Telegram-Aktivit\u00e4ten regelm\u00e4\u00dfig \u00fcberwachen!<\/strong> Hacker stehlen fremde Konten, um Spam zu verbreiten und Betr\u00fcgereien zu starten. Deshalb solltest du deinen Chat-Verlauf gelegentlich \u00fcberpr\u00fcfen und nachsehen, ob es keine neuen Unterhaltungen oder Nachrichten gibt, die nicht von dir stammen.<\/li>\n<li><strong>Unbekannte Sitzungen sofort beenden!<\/strong> Wenn du den Verdacht hast, dass du diesem Infostealer oder einem anderen Cyberangriff zum Opfer gefallen bist, beende so schnell wie m\u00f6glich alle anderen Telegram-Sitzungen (<em>Einstellungen<\/em> \u2192 <em>Ger\u00e4te<\/em> \u2192 <em>Alle anderen Sitzungen beenden<\/em>).<\/li>\n<\/ul>\n<p>Wenn dein Telegram-Konto bereits gehackt wurde, hast du in der Regel 24\u00a0Stunden Zeit, um die Sitzungen der Angreifer zu beenden. Warum es diese Regel gibt und wie man einen gestohlenen Account wiederherstellen kann, erf\u00e4hrst du hier: <a href=\"https:\/\/www.kaspersky.de\/blog\/telegram-account-hacked\/31848\/\" target=\"_blank\" rel=\"noopener\"><strong>Telegram-Konto gehackt \u2013 was nun?<\/strong><\/a><\/p>\n<p>Du solltest dein Telegram-Konto aber schon jetzt sicherer machen. Lege zun\u00e4chst ein Cloud-Passwort fest. Dazu gehst du zu <em>Einstellungen<\/em> \u2192 <em>Privatsph\u00e4re und Sicherheit<\/em> \u2192 <em>Zweistufige Best\u00e4tigung<\/em>. Aber bitte kein beliebiges Passwort\u00a0\u2013 es muss einzigartig und unhackbar sein. Wie das geht, erf\u00e4hrst du in unserem Artikel <a href=\"https:\/\/www.kaspersky.de\/blog\/international-password-day-2025\/32150\/\" target=\"_blank\" rel=\"noopener\"><strong>Ein wirklich unvergessliches Passwort<\/strong><\/a>.<\/p>\n<p>Noch besser: Wechsle zu <a href=\"https:\/\/www.kaspersky.de\/blog\/full-guide-to-passkeys-in-2025-part-1\/32372\/\" target=\"_blank\" rel=\"noopener\">Passkeys<\/a>, einer passwortlosen Technologie, die erstklassigen Schutz vor Datenlecks und Phishing bietet. In Telegram richtest du diese Anmeldemethode hier ein: <em>Einstellungen<\/em> \u2192 <em>Privatsph\u00e4re und Sicherheit<\/em> \u2192 <em>Passkeys<\/em>. Passkeys kannst du ganz einfach mit <a href=\"https:\/\/www.kaspersky.de\/password-manager?icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a>\u00a0verwalten. Unsere plattform\u00fcbergreifende App sorgt daf\u00fcr, dass du dich unter Windows, Android, iOS und macOS problemlos mit deinen gespeicherten Passkeys bei Telegram anmelden kannst.<\/p>\n<blockquote><p>Hier sind andere Artikel \u00fcber Cyberkriminelle, die Telegram-Konten stehlen und sperren k\u00f6nnen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-premium-scam\/52696\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Ein Telegram Premium-Abo als \u201eGeschenk\u201c f\u00fcr dich<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/telegram-account-hacked\/31848\/\" target=\"_blank\" rel=\"noopener\"><strong>Telegram-Konto gehackt \u2013 was nun?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/telegram-mini-app-phishing\/55041\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Phishing in Telegram-Mini-Apps: Was hat Habibs Kopfbedeckung damit zu tun?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/phishing-and-scam-in-telegram-2025\/32578\/\" target=\"_blank\" rel=\"noopener\"><strong>Von Bots, Geschenken und Krypto \u2013 die sch\u00f6ne neue Welt der Telegram-Abzocke<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-prevent-whatsapp-telegram-account-hijacking-and-quishing\/31963\/\" target=\"_blank\" rel=\"noopener\"><strong>Vorsicht Piraten! <\/strong><\/a><a href=\"https:\/\/www.kaspersky.de\/blog\/how-to-prevent-whatsapp-telegram-account-hijacking-and-quishing\/31963\/\" target=\"_blank\" rel=\"noopener\"><strong>So sch\u00fctzt du dein WhatsApp- und Telegram-Konto<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Hacker haben sich ein PowerShell-Skript ausgedacht, mit dem sie Telegram-Sitzungen kapern und auf fremde Konten zugreifen k\u00f6nnen. Ein Passwort oder einen Best\u00e4tigungscode brauchen sie daf\u00fcr nicht. Hier erf\u00e4hrst du, wie der Angriff funktioniert und was du f\u00fcr deine Sicherheit tun kannst.<\/p>\n","protected":false},"author":2754,"featured_media":33679,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,2286],"tags":[274,4251,984,1653,3353,988],"class_list":{"0":"post-33678","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-bedrohungen","10":"tag-benutzerkonten","11":"tag-messenger","12":"tag-security","13":"tag-stealer","14":"tag-telegram"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/telegram-no-password-session-stealer\/33678\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/telegram-no-password-session-stealer\/30842\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/telegram-no-password-session-stealer\/25881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/telegram-no-password-session-stealer\/30683\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/telegram-no-password-session-stealer\/42109\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/telegram-no-password-session-stealer\/56006\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/telegram-no-password-session-stealer\/30790\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/telegram-no-password-session-stealer\/36351\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/telegram-no-password-session-stealer\/36241\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/telegram\/","name":"Telegram"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33678","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2754"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33678"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33678\/revisions"}],"predecessor-version":[{"id":33685,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33678\/revisions\/33685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33679"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33678"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33678"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33678"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}