Il existe des dizaines de façons de pirater un compte Telegram. Nous avons souvent abordé le sujet du phishing dans les mini-applications de Telegram, des escroqueries impliquant des bots, des cadeaux et des tirages au sort, ainsi que de nombreuses autres tactiques. Aujourd’hui, nous examinons une autre méthode de piratage de compte, une méthode qui repose sur un script PowerShell.
Ce script, qui porte le nom trompeur de « Mise à jour de la télémétrie Windows », sert en réalité à détourner les sessions Telegram. Il récupère des données sur des ordinateurs totalement vulnérables et les transmet aux pirates via un bot Telegram. Un script malveillant intégrant un programme de vol de données Les cybercriminels ont souvent recours à des scripts PowerShell pour télécharger discrètement des programmes malveillants ou collecter des données.
Cette fois-ci, des chercheurs ont découvert sur Pastebin un script se faisant passer pour une mise à jour Windows de routine. En réalité, il s’agissait d’un logiciel de vol d’informations conçu pour détourner les données de session de Telegram pour Windows et permettre aux pirates informatiques de prendre le contrôle de comptes sans avoir besoin ni de mot de passe ni de code de vérification. Au fond, qu’est-ce qu’un script PowerShell ?
Voyez-le comme un fichier texte contenant des commandes destinées à un ordinateur Windows. Au lieu qu’une personne passe du temps à cliquer manuellement sur chaque tâche, l’ordinateur suit ces instructions rapides pour tout effectuer automatiquement en quelques secondes. Ce script PowerShell vole les données de session de Telegram pour Windows, permettant ainsi aux pirates informatiques de détourner des comptes sans avoir besoin ni de mot de passe ni de codes de vérification Dès le début du script, les chercheurs ont immédiatement repéré un jeton de bot Telegram et un identifiant de discussion, ainsi que plusieurs références au dossier tdata.
C’est dans ce dossier que Telegram pour Windows stocke les clés d’autorisation utilisées pour connecter les utilisateurs à ses serveurs. Si des pirates s’emparent de ces données, ils peuvent accéder au compte Telegram de la victime sans mot de passe ni code de vérification. Une fois à l’intérieur, ils conservent l’accès jusqu’à ce que la victime vérifie ses sessions actives dans l’application et mette fin manuellement à celles qui semblent suspectes.
Comment fonctionne le programme malveillant ? Le programme malveillant camoufle son apparence et s’introduit dans l’ordinateur de la victime en se faisant passer pour un script PowerShell destiné à une mise à jour de télémétrie Windows. Dès son lancement, il recueille des informations de base sur le système : nom d’utilisateur, nom d’hôte et adresse IP publique.
Il vérifie ensuite si l’application Telegram Desktop est installée. Si c’est le cas, le script force la fermeture de l’application afin de pouvoir déverrouiller les fichiers Telegram pour les modifier. À partir de là, le reste est simple : le script compresse l’intégralité du contenu du dossier tdata dans un répertoire temporaire, transmet directement l’archive aux pirates, puis supprime le fichier de l’ordinateur pour effacer toute trace.
La bonne nouvelle, c’est que le logiciel de vol n’a probablement encore compromis aucun compte, étant donné que les experts n’ont trouvé aucune preuve de transferts réels de données. Il semblerait que les chercheurs aient détecté ce script PowerShell malveillant alors qu’il en était encore au stade de test du prototype. Un autre indice, c’est son nom étonnamment suspect.
Les cybercriminels utilisent généralement des noms anodins pour dissimuler leurs bots et leurs applications. Dans ce cas précis, lorsque les chercheurs l’ont découvert, le bot fonctionnait sous le pseudonyme afhbhfsdvfh_bot, accompagné d’une description on ne peut plus honnête : Telegram attacker. Les chercheurs ont noté que, bien que le bot ait probablement fait l’objet de tests fonctionnels, il n’avait pas encore fait l’objet d’un déploiement à grande échelle, ce qui explique son nom provisoire.
Comment se protéger contre les scripts PowerShell Pour se prémunir contre ce logiciel de vol sans nom, il faut adopter une approche de sécurité à plusieurs niveaux. Tout d’abord, il est utile de comprendre comment un script PowerShell se retrouve sur votre ordinateur. En général, ces scripts s’introduisent à votre insu via des pièces jointes malveillantes, des vulnérabilités logicielles, des applications infectées ou des techniques d’ingénierie sociale.
C’est pourquoi nous vous recommandons d’installer une suite de sécurité performante sur votre appareil et de rester très vigilant lorsque vous cliquez sur des liens ou téléchargez des fichiers. Faites attention à ce que vous téléchargez. Vérifiez toujours soigneusement les sites que vous utilisez pour télécharger des fichiers.
Privilégiez les sources officielles et fiables – et n’oubliez pas que les canaux Telegram et Discord, ainsi que les sites douteux et éphémères, ne répondent absolument pas à ces critères. Méfiez-vous des liens et des pièces jointes contenus dans les emails. N’oubliez pas que l’email reste l’un des moyens de communication favoris des cybercriminels.
Ils peuvent envoyer un script PowerShell directement dans votre boîte de réception sous forme de pièce jointe ou vous inciter à cliquer sur un lien qui déclenche un téléchargement automatique. Gardez vos applications et votre système d’exploitation à jour. Les vulnérabilités logicielles apparaissent soudainement, mais les correctifs sont généralement publiés très rapidement.
Nous vous recommandons d’installer les mises à jour dès qu’elles sont disponibles. Pour vous simplifier la vie, activez simplement les mises à jour automatiques dès que possible. Veillez à installer Kaspersky Premium sur tous les appareils sur lesquels vous utilisez Telegram.
Notre solution de sécurité bloquera les programmes malveillants, les pièces jointes malveillantes, les spams, les tentatives de phishing et les sites suspects. L’abonnement à Kaspersky Premium comprend également un gestionnaire de mots de passe. Il génère et stocke en toute sécurité des mots de passe forts et uniques, vous empêche de saisir vos identifiants sur de faux sites et vous aide à renforcer la sécurité de votre compte Telegram, ce dont nous parlerons ensuite.
Comment sécuriser votre compte Telegram Pour protéger votre compte Telegram contre ce type de tentatives de piratage, nous vous recommandons de suivre les conseils suivants : Surveillez régulièrement vos activités Telegram. Dans le fond, les pirates informatiques piratent des comptes pour envoyer du spam et lancer des escroqueries. Il est judicieux de vérifier de temps en temps l’historique de vos discussions pour vous assurer qu’aucune nouvelle conversation ou aucun nouveau message que vous n’avez pas envoyé vous-même n’est apparu.
Fermez immédiatement les sessions inhabituelles. Si vous pensez avoir été victime de ce logiciel de vol d’informations ou de toute autre cyberattaque, fermez dès que possible toutes vos autres sessions Telegram en sélectionnant Paramètres → Appareils → Fermer toutes les autres sessions. Si votre compte Telegram a déjà été piraté, vous disposez d’un délai de 24 heures pour expulser les pirates en mettant fin à leurs sessions.
Nous avons expliqué en détail pourquoi cette règle existe et décrit toutes les méthodes possibles pour récupérer votre compte dans notre guide complet : Que faire si votre compte Telegram est piraté ? En attendant, il est indispensable de renforcer la sécurité de votre compte. Commencez par configurer un mot de passe cloud en vous rendant dans Paramètres → Confidentialité et sécurité → Double authentification.
Un mot de passe quelconque ne suffit pas : il vous en faut un qui soit unique et impossible à pirater. Nous vous recommandons de lire notre article à ce sujet : Créer un mot de passe inoubliable. Mieux encore, optez pour les clés d’accès, une technologie sans mot de passe qui offre une protection de premier plan contre les fuites et le phishing.
Pour configurer ce mode de connexion, accédez à Paramètres → Confidentialité et sécurité → Clés d’accès. Le moyen le plus simple de gérer vos clés d’accès est d’utiliser Kaspersky Password Manager. Notre application multiplateforme vous permet de vous connecter en toute simplicité à Telegram à l’aide de vos clés d’accès enregistrées, que vous utilisiez Windows, Android, iOS ou macOS.
Pour en savoir plus à propos des méthodes utilisées par les cybercriminels pour pirater votre compte Telegram et comment le verrouiller, consultez nos autres articles : Que faire si votre compte Telegram est piraté ? Escroqueries sur Telegram : bots, cadeaux et cryptomonnaies Piratage de compte WhatsApp et Telegram : comment se protéger des escroqueries Vous avez reçu un » cadeau » – un abonnement à Telegram Premium Le phishing dans les mini-applications de Telegram : quel est le rapport avec la papakha de Habib ? [banner Premium Generic]