I ricercatori di Kaspersky hanno individuato uno script PowerShell malevolo, camuffato da innocuo “Windows Telemetry Update”, capace di rubare gli account Telegram senza bisogno di password né codici di verifica. Lo script copia la cartella tdata di Telegram Desktop — quella in cui l’app conserva le chiavi di sessione — e la invia ai criminali, che possono così entrare nell’account della vittima come se fossero già autenticati.
Cosa significa per la tua azienda
Telegram è ormai usato anche in contesti di lavoro: gruppi con fornitori, assistenza clienti, perfino scambio di documenti. Un account aziendale dirottato significa accesso alle conversazioni, ai file condivisi e alla rubrica — e la possibilità di impersonare un collega o un titolare per truffe mirate ai contatti.
- L’attacco colpisce Telegram Desktop su Windows, non l’app del telefono.
- Non serve “indovinare” nulla: il furto avviene eseguendo uno script ricevuto via mail, chat o scaricato da fonti non ufficiali.
- L’intruso resta dentro finché la vittima non controlla le sessioni attive e chiude quelle sospette.
Il punto di vista FlashTech
Questo attacco è un promemoria concreto di due regole che ripetiamo spesso ai nostri clienti. Primo: PowerShell nelle mani sbagliate è un’arma — sulle postazioni di lavoro andrebbe limitato con policy adeguate (execution policy, AppLocker, EDR), perché nessun “aggiornamento di Windows” legittimo arriva come script da eseguire a mano. Secondo: la sicurezza degli endpoint non è un optional — una protezione endpoint moderna, come le soluzioni Kaspersky e Fortinet che integriamo, intercetta questi stealer prima che tocchino i dati.
Tre azioni immediate che consigliamo: verificare le sessioni attive di Telegram su tutti i dispositivi aziendali (Impostazioni → Dispositivi), attivare la verifica in due passaggi, e istruire il personale a non eseguire mai script ricevuti da terzi.
Se vuoi una valutazione della sicurezza delle tue postazioni di lavoro, parliamone: la prima consulenza è gratuita.
Fonte: Kaspersky Daily Italia
