利用 PowerShell 窃取 Telegram 会话

Pastebin 隐写木马：利用 PowerShell 窃取 Telegram 会话 过去几天（2026年4月下旬）安全社区讨论非常激烈的一个实战案例。它之所以引起轰动，是因为其利用了极高的隐蔽手段和针对性的“会话克隆”技术。

以下是ExtremeHack为你深度拆解的技术细节：

黑客不再直接发送可执行文件，而是通过社会工程学手段（如伪装成“Windows Telemetry Update”或“网络加速脚本”）诱导用户执行一段简单的PowerShell命令。

Pastebin 托管：脚本主体托管在 Pastebin 等公开代码托管平台。

字符级隐写 (Steganography)：这是最硬核的一点。Pastebin 上的内容看起来可能只是一篇普通的计算机科学论文或枯燥的日志。但脚本会读取特定的字符位置（例如每隔 16 个字符取一个），拼凑出真正的恶意 C2 地址或第二阶段的下载指令。这种方式能完美绕过基于关键词匹配的防火墙检测

该木马的核心目标不是你的密码，而是Telegram Desktop的会话文件夹：%AppData%\Telegram Desktop\tdata。

目标文件：脚本会精准搜索并打包 map0、map1 以及 D877F783D5D3EF8C 这种命名的加密文件。

逻辑：Telegram 的桌面端采用本地文件认证。只要黑客把这些 tdata 文件拷贝到自己的电脑上，无需账号密码，无需二步验证 (2FA)，就能直接“克隆”并登录你的账号。

脚本在运行时表现出极高的对抗性：

隐藏执行：使用 -W Hidden -E 参数运行，用户在桌面上完全看不到任何窗口弹出。

内存加载：采用 Invoke-Expression (IEX) 模式，代码直接在内存中解密执行，不产生本地临时文件（Fileless），让传统杀毒软件的特征码扫描无功而返。

环境探测：脚本会先请求 api.ipify.org 获取你的公网 IP，并收集主机名、用户名。如果检测到是虚拟机（VM）环境，它会直接自毁以防被安全分析师抓包。

最讽刺的是，黑客利用 Telegram 自己的基础设施来运送赃物。

数据打包：脚本将 tdata 压缩成一个加密的 ZIP。

API 上传：通过 sendDocument 接口，利用硬编码在脚本里的Telegram Bot Token，将压缩包直接发送到黑客的私人群组里。

流量伪装：因为流量是去往 api.telegram.org 的，普通的防火墙会认为这是正常的社交软件通讯，从而放行。

这个案例完美展示了“利用合法平台（Pastebin）+ 合法工具（PowerShell）+ 合法通道（Telegram API）”的三位一体攻击。