Forwarded from RedBlue Notes
Как хакеры читают переписку в Telegram, даже если включена двухфакторка
Это база😑
Двухфакторка затрудняет взлом, но её можно обойти социальными хитростями. Любимая схема мошенников, выманить одноразовый код 2FA у жертвы. Для этого применяют специальные OTP-боты, которые звонят жертве, выдавая себя за службу поддержки банка или Telegram. В разговоре «бот» просит ввести код, пришедший по SMS, прямо по телефону. Когда жертва печатает код, он передаётся злоумышленнику через Telegram-бот. После этого преступник получает доступ к учётной записи жертвы и может читать её переписку. Такие сервисы продаются в Telegram по подписке (смети $400/неделю) и требуют от атакующего лишь логин, пароль, номер жертвы и сценарий разговора.
Кроме звонков, есть схожая схема через фишинговые боты. Так, эксперты F6 описали Telegram-бота, обещающего "обойти замедление" мессенджера: жертве предлагают нажать кнопку "Не робот" и ввести код, якобы присланный ботом. На деле это авторизационный код Telegram. Если пользователь вводит его на фишинговой форме, а облачный пароль не включён, злоумышленник мгновенно получает полный доступ к аккаунту. Аналогичным образом работают рассылки "подарков Premium" и другие фейки: они ведут на поддельные страницы или ботов, где выдают себя за Telegram и выманивают код из SMS. Даже если у вас включен 2FA, никогда нельзя сообщать код из SMS или иного мессенджера.
Поддельные Telegram Web-клиенты💄
Мини‑приложения Telegram. К примеру, в 2026 году появились фейковые сообщения "Чат переезжает на новый сервер" с приглашением "подтвердить, что вы не робот". По ссылке открывался вредоносный мини‑бот: вместо реальной капчи он просил ввести цифровой код, отправленный Telegram. Этот код на самом деле является кодом авторизации вашего аккаунта. Если жертва вводит его без дополнительной защиты аккаунта, злоумышленник получает привязку учётки к своему устройству и полный доступ к переписке. Такое мини-приложение скрыто в рамках самого Telegram.
Захват сессии🧛
Если атакующий похищает ключи сессии, ему не нужны пароли и коды, аккаунт авторизуется мгновенно. Наиболее опасен хак через Telegram Desktop и другие клиенты. На компьютере Telegram хранит все сессионные данные в папке TData. Там лежат файлы, позволяющие войти в аккаунт без ввода пароля или 2FA. Если злоумышленник заведёт на ваш ПК троян или вы сами запустите вредоносный файл, он может незаметно скопировать вашу папку TData. Затем на своём компьютере хакер подсовывает эти файлы Telegram Desktop и получает полный доступ ко всем вашим чатам, контактам и файлам.
Вредоносные Telegram-боты🐍
В Telegram регулярно появляются боты, которые предлагают скачать удалённые приложения из Google Play или восстановить недоступные APK, но на деле подсовывают троянские сборки. Пользователь получает якобы оригинальный установщик, разрешает установку из неизвестных источников и сам запускает вредонос. Внутри таких файлов нередко оказывается банковский троян Mamont, который перехватывает SMS-коды, push-уведомления и данные из приложений.
Внимательность🤥
В большинстве случаев взлом происходит не из-за сложных эксплойтов, а из-за невнимательности и сильной социальной инженерии. Истории с редкими CVE и специнструментами существуют, но массовые компрометации обычно начинаются с доверия и одного лишнего клика.
10 лайков и разберём, как ломают Telegram-ботов🤝
Подписывайтесь на канал
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону
Эта статья не о том, что Telegram это зло. Любая среда где общаются люди может стать площадкой для обмана. Схема всегда подстраивается под ситуацию и используемый ресурс. Сегодня это мессенджер, вчера была почта, завтра будет другая платформа. Механика остается прежней и строится на доверии и невнимательности. Вас точно так же могут обмануть в кофейне или в продуктовом магазине. Меняется инструмент, но не принцип.
Это база
Двухфакторка затрудняет взлом, но её можно обойти социальными хитростями. Любимая схема мошенников, выманить одноразовый код 2FA у жертвы. Для этого применяют специальные OTP-боты, которые звонят жертве, выдавая себя за службу поддержки банка или Telegram. В разговоре «бот» просит ввести код, пришедший по SMS, прямо по телефону. Когда жертва печатает код, он передаётся злоумышленнику через Telegram-бот. После этого преступник получает доступ к учётной записи жертвы и может читать её переписку. Такие сервисы продаются в Telegram по подписке (смети $400/неделю) и требуют от атакующего лишь логин, пароль, номер жертвы и сценарий разговора.
Кроме звонков, есть схожая схема через фишинговые боты. Так, эксперты F6 описали Telegram-бота, обещающего "обойти замедление" мессенджера: жертве предлагают нажать кнопку "Не робот" и ввести код, якобы присланный ботом. На деле это авторизационный код Telegram. Если пользователь вводит его на фишинговой форме, а облачный пароль не включён, злоумышленник мгновенно получает полный доступ к аккаунту. Аналогичным образом работают рассылки "подарков Premium" и другие фейки: они ведут на поддельные страницы или ботов, где выдают себя за Telegram и выманивают код из SMS. Даже если у вас включен 2FA, никогда нельзя сообщать код из SMS или иного мессенджера.
Поддельные Telegram Web-клиенты
Мини‑приложения Telegram. К примеру, в 2026 году появились фейковые сообщения "Чат переезжает на новый сервер" с приглашением "подтвердить, что вы не робот". По ссылке открывался вредоносный мини‑бот: вместо реальной капчи он просил ввести цифровой код, отправленный Telegram. Этот код на самом деле является кодом авторизации вашего аккаунта. Если жертва вводит его без дополнительной защиты аккаунта, злоумышленник получает привязку учётки к своему устройству и полный доступ к переписке. Такое мини-приложение скрыто в рамках самого Telegram.
Захват сессии
Если атакующий похищает ключи сессии, ему не нужны пароли и коды, аккаунт авторизуется мгновенно. Наиболее опасен хак через Telegram Desktop и другие клиенты. На компьютере Telegram хранит все сессионные данные в папке TData. Там лежат файлы, позволяющие войти в аккаунт без ввода пароля или 2FA. Если злоумышленник заведёт на ваш ПК троян или вы сами запустите вредоносный файл, он может незаметно скопировать вашу папку TData. Затем на своём компьютере хакер подсовывает эти файлы Telegram Desktop и получает полный доступ ко всем вашим чатам, контактам и файлам.
Вредоносные Telegram-боты
В Telegram регулярно появляются боты, которые предлагают скачать удалённые приложения из Google Play или восстановить недоступные APK, но на деле подсовывают троянские сборки. Пользователь получает якобы оригинальный установщик, разрешает установку из неизвестных источников и сам запускает вредонос. Внутри таких файлов нередко оказывается банковский троян Mamont, который перехватывает SMS-коды, push-уведомления и данные из приложений.
Внимательность
В большинстве случаев взлом происходит не из-за сложных эксплойтов, а из-за невнимательности и сильной социальной инженерии. Истории с редкими CVE и специнструментами существуют, но массовые компрометации обычно начинаются с доверия и одного лишнего клика.
10 лайков и разберём, как ломают Telegram-ботов
Подписывайтесь на канал
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
www.opennet.ru
Атака AirSnitch, позволяющая обойти изоляцию между клиентами в Wi-Fi
Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети - AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу.…
🔗Ссылка:
https://opennet.ru/64881/
https://opennet.ru/64881/
Forwarded from Похек (Сергей Зыбнев)
Malware через GitHub Fork: разбор форка Triton
#malware #supplychain #github #reversing
Вредоносный форк macOS-приложения Triton на GitHub. Атакующий подменил все download-ссылки в README на ZIP с Windows-малварью, замаскированный под Xcode-ассет. VT: 12/66.
Цепочка:
C2: domain fronting через
Почему провалилось:
➡️ Windows-малварь для macOS-аудитории
➡️ Нишевое приложение с нулевой базой
➡️ Репозиторий затегирован словом "malware"
Бинарник сделан толково, а стратегия провалена. Похожие форки нашлись в сотнях репозиториев - кампания работает минимум год.
🔗 Полный разбор в blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#malware #supplychain #github #reversing
Вредоносный форк macOS-приложения Triton на GitHub. Атакующий подменил все download-ссылки в README на ZIP с Windows-малварью, замаскированный под Xcode-ассет. VT: 12/66.
Цепочка:
7za.exe с паролем infected -> batch-скрипт -> LuaJIT (редкий движок, AV его почти не детектят).C2: domain fronting через
officeapps.live.com, геолокация через ip-api.com, blockchain dead drop через Polygon RPC.Почему провалилось:
Бинарник сделан толково, а стратегия провалена. Похожие форки нашлись в сотнях репозиториев - кампания работает минимум год.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 1N73LL1G3NC3
GoLinHound
A BloodHound collector written in Go that discovers Linux and SSH attack paths. Outputs OpenGraph JSON and integrates with existing SharpHound and AzureHound data.
A BloodHound collector written in Go that discovers Linux and SSH attack paths. Outputs OpenGraph JSON and integrates with existing SharpHound and AzureHound data.
Forwarded from Adaptix Framework
AdaptixC2 v1.2 UPDATE
* New UI cross platform styles
* Server side AxScript Engine
* Async BOFs
Full update info: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v1.1-greater-than-v1.2
* New UI cross platform styles
* Server side AxScript Engine
* Async BOFs
Full update info: https://adaptix-framework.gitbook.io/adaptix-framework/changelog-and-updates/v1.1-greater-than-v1.2
adaptix-framework.gitbook.io
v1.1 -> v1.2 | Adaptix Framework
Forwarded from Pentest Notes
DeBix (Деобфускатор Bitrix)
🔍 Вы знали, что модули Bitrix, поставляемые через Marketplace в демо-режиме, проходят через автоматический обфускатор? (см. Фото)
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
💫 @pentestnotes
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Bagley's 📚 Notes (Bagley)
#learning #PublicPosts #RedTeam #AD
Please open Telegram to view this post
VIEW IN TELEGRAM