أعلنت شركة Flare عن اكتشاف برمجية خبيثة جديدة مكتوبة بلغة PowerShell، يتم توزيعها عبر سكربت مستضاف على Pastebin تحت اسم مزيف “Windows Telemetry Update”. هذه البرمجية مصممة خصيصًا لسرقة بيانات جلسات Telegram Desktop وإرسالها إلى المهاجمين عبر واجهة Telegram Bot API.
آلية عمل البرمجية
- عند التشغيل، يقوم السكربت بجمع بيانات الجهاز الأساسية مثل اسم المستخدم، اسم المضيف، وعنوان الـ IP العام عبر خدمة api.ipify[.]org.
- بعد ذلك، يبحث عن مجلدات tdata الخاصة بتطبيق Telegram Desktop ونسخة Telegram Desktop Beta.
- إذا تم العثور عليها، يقوم بإنهاء عملية تيليغرام النشطة لتحرير الملفات المقفلة.
- ثم يقوم بأرشفة بيانات الجلسة في ملف مضغوط باسم TEMP\diag.zip.
- أخيرًا، يتم رفع الملف مباشرة إلى دردشة المهاجم عبر واجهة sendDocument الخاصة بـ Telegram Bot API.
خطورة الهجوم
هذا النوع من البرمجيات يمثل تهديدًا مباشرًا لخصوصية المستخدمين، إذ أن سرقة بيانات جلسات تيليغرام تتيح للمهاجمين الوصول الكامل إلى المحادثات، الملفات، والرموز المؤقتة دون الحاجة إلى كلمة مرور أو مصادقة إضافية. كما أن استخدام واجهة Telegram الرسمية للإرسال يجعل عملية الاستخراج تبدو طبيعية ويصعب اكتشافها عبر أنظمة الحماية التقليدية.
دلالات أمنية
الهجوم يوضح كيف يمكن استغلال أدوات شرعية مثل PowerShell وواجهات برمجية عامة مثل Telegram Bot API لتنفيذ عمليات سرقة بيانات متقدمة. كما أن استضافة السكربت على منصات مفتوحة مثل Pastebin يعكس اعتماد المهاجمين على قنوات توزيع سهلة الوصول لإخفاء أنشطتهم.
