Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

PupkinStealer: Инструмент кражи данных через Telegram Bot API

3 мин
В апреле 2025 года был впервые обнаружен вредоносный инструмент PupkinStealer — компактная программа на C#, предназначенная для кражи конфиденциальной информации. Несмотря на относительно небольшой размер и кажущуюся простоту, PupkinStealer представляет серьёзную угрозу кибербезопасности благодаря эффективным методам сбора и передачи данных через инфраструктуру Telegram. PupkinStealer разработан с учетом поддержки обеих платформ Windows — x86 и x64 — благодаря компиляции AnyCPU. Размер вредоносного файла составляет около 6,2 МБ, что делает его малозаметным для антивирусных решений и облегчает распространение. Передача данных через Telegram позволяет эффективно обходить традиционные средства периметровой безопасности, поскольку трафик кажется легитимным и не вызывает подозрений. После запуска файла PupkinStealer.exe вредоносная программа инициирует сразу несколько асинхронных процессов для параллельного сбора информации. Полученные данные аккумулируются в сжатый файл, который затем авто
Оглавление

В апреле 2025 года был впервые обнаружен вредоносный инструмент PupkinStealer — компактная программа на C#, предназначенная для кражи конфиденциальной информации. Несмотря на относительно небольшой размер и кажущуюся простоту, PupkinStealer представляет серьёзную угрозу кибербезопасности благодаря эффективным методам сбора и передачи данных через инфраструктуру Telegram.

Особенности PupkinStealer

PupkinStealer разработан с учетом поддержки обеих платформ Windows — x86 и x64 — благодаря компиляции AnyCPU. Размер вредоносного файла составляет около 6,2 МБ, что делает его малозаметным для антивирусных решений и облегчает распространение.

  • Сбор конфиденциальных данных:учетные данные браузеров;
    токены сеансов Telegram и Discord;
    файлы с рабочего стола;
    полноэкранные скриншоты.
  • Параллельное выполнение пяти асинхронных задач для ускорения сбора данных.
  • Сжатие собранной информации в ZIP-архив с именем User @ardent.zip.
  • Передача архива напрямую через Telegram Bot API на канал злоумышленника, используя бота botkanalchik_bot.

Передача данных через Telegram позволяет эффективно обходить традиционные средства периметровой безопасности, поскольку трафик кажется легитимным и не вызывает подозрений.

Механизм атаки и методы передачи данных

После запуска файла PupkinStealer.exe вредоносная программа инициирует сразу несколько асинхронных процессов для параллельного сбора информации. Полученные данные аккумулируются в сжатый файл, который затем автоматически отправляется злоумышленнику через приватный чат Telegram. Такой подход позволяет обеспечивать реальное время получения украденной информации и минимизировать временные задержки в работе программы.

Использование Telegram Bot API и инфраструктуры мессенджера для передачи данных стало одним из главных преимуществ PupkinStealer, обеспечивая скрытую связь и фильтрацию через официальные каналы Telegram.

Рекомендации по защите и снижению рисков

Для предотвращения успешного внедрения и распространения PupkinStealer экспертами по кибербезопасности рекомендуется применять следующие меры:

  • Ограничить доступ к Telegram Bot API без крайней необходимости, чтобы исключить использование этой инфраструктуры в качестве канала передачи данных.
  • Регулярно мониторить загрузку ZIP-файлов на api.telegram.org в журналах прокси-серверов для выявления подозрительных активностей.
  • Отслеживать создание файлов в специфических каталогах, например, %APPDATA%TempGrabbers, характерных для подобных вредоносных программ.
  • Обеспечить защиту браузеров путем отключения хранилища учетных данных и внедрения мастер-паролей для повышения уровня безопасности.
  • Использовать системы обнаружения и реагирования (EDR), способные фиксировать массовый доступ к учетным данным и попытки создания скриншотов.
  • Повышать осведомленность пользователей о рисках, связанных с установкой взломанного ПО и открытием фишинговых вложений.

Последствия и опасности для пользователей и организаций

Учетные данные, добываемые PupkinStealer, обладают значительной стоимостью на темных веб-рынках, что стимулирует злоумышленников к активному использованию данного инструмента. Взломанные сеансы Telegram и Discord открывают дополнительные возможности для атак социальной инженерии, включая захват аккаунтов и распространение вредоносного контента.

Как отмечают эксперты, даже менее сложные вредоносные программы, подобные PupkinStealer, могут приносить злоумышленникам существенную прибыль и вызывать серьезные проблемы в сфере информационной безопасности.

Заключение для специалистов по безопасности

Использование Telegram в качестве канала управления и передачи данных позволяет PupkinStealer обходить стандартные меры контроля, что требует от специалистов по кибербезопасности особого внимания.

Рекомендуется:

  • интегрировать хэши файлов, сетевые индикаторы и поведенческие модели PupkinStealer в системы IDS/IPS и EDR;
  • обрабатывать исходящий трафик Telegram с тем же уровнем тщательности, что и другие непроверенные облачные сервисы;
  • проводить регулярные учебные программы для сотрудников по повышению уровня цифровой гигиены.

Только комплексный подход позволит снизить риски, связанные с подобными современными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "PupkinStealer: Инструмент кражи данных через Telegram Bot API".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.