Исследователи зафиксировали новую активность злоумышленников, которые размещают вредоносные PowerShell-скрипты на Pastebin и используют их для кражи пользовательских данных. Скрипты маскируются под системные процессы — например, под «обновления телеметрии Windows», чтобы не вызывать подозрений.
Анализ одного из таких скриптов показал, что он целенаправленно ищет на компьютере пользователя данные Telegram Desktop. В случае обнаружения программа завершает процесс мессенджера, архивирует сессионные файлы и отправляет их злоумышленнику через Telegram Bot API.
Дополнительно скрипт собирает базовую информацию о системе: имя пользователя, имя хоста и публичный IP-адрес. После этого данные упаковываются в архив и передаются на удалённый сервер управления.
Интересная деталь: исследователи обнаружили две версии одного и того же инструмента. Первая работала с ошибками, вторая — уже корректно отправляла украденные данные. В коде остались открытые токены Telegram-бота, что позволило изучить историю активности атакующего и инфраструктуру управления.
Текущая версия скрипта не использует обфускацию и не закрепляется в системе, что говорит о стадии тестирования. При этом сама схема атаки остаётся рабочей и может быть быстро масштабирована.
Метод с Pastebin не новый, но остаётся эффективным. Публичные paste-сервисы часто не блокируются корпоративными фильтрами, а текстовый формат позволяет скрывать вредоносный код внутри обычного контента. Ранее специалисты Recorded Future фиксировали кампании, где через Pastebin распространялись закодированные PowerShell-скрипты и загрузчики троянов.
PowerShell остаётся удобным инструментом для атак. Он встроен в Windows, умеет работать с сетью и выполнять код прямо в памяти. Это позволяет проводить так называемые fileless-атаки — без сохранения файлов на диск, что усложняет обнаружение традиционными средствами защиты.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
