文章总结： 该文档详细分析了2026年4月下旬安全社区热议的一起利用PowerShell窃取Telegram会话的实战攻击案例。攻击者通过社会工程学手段诱导用户执行PowerShell命令，该命令从Pastebin等平台获取经过字符级隐写处理的指令，以隐蔽方式窃取Telegram本地会话文件(tdata)。脚本采用无文件内存加载、隐藏窗口执行、环境探测（如检测虚拟机自毁）等对抗技术，并最终利用TelegramBotAPI将窃取的数据通过合法加密通道回传，完美规避传统安全检测。 综合评分： 87 文章分类： 恶意软件,社会工程学,渗透测试,红队,内网渗透

利用 PowerShell 窃取 Telegram 会话

ExtremeHack ExtremeHack

黑白之道

2026年4月26日 08:48 江西

在小说阅读器读本章

去阅读

Pastebin 隐写木马：利用 PowerShell 窃取 Telegram 会话 这个有细节不？过去几天（2026年4月下旬）安全社区讨论非常激烈的一个实战案例。它之所以引起轰动，是因为其利用了极高的隐蔽手段和针对性的“会话克隆”技术。

以下是ExtremeHack为你深度拆解的技术细节：

黑客不再直接发送可执行文件，而是通过社会工程学手段（如伪装成“Windows Telemetry Update”或“网络加速脚本”）诱导用户执行一段简单的PowerShell命令。

Pastebin 托管：脚本主体托管在 Pastebin 等公开代码托管平台。

字符级隐写 (Steganography)：这是最硬核的一点。Pastebin 上的内容看起来可能只是一篇普通的计算机科学论文或枯燥的日志。但脚本会读取特定的字符位置（例如每隔 16 个字符取一个），拼凑出真正的恶意 C2 地址或第二阶段的下载指令。这种方式能完美绕过基于关键词匹配的防火墙检测

该木马的核心目标不是你的密码，而是Telegram Desktop的会话文件夹：%AppData%\Telegram Desktop\tdata。

目标文件：脚本会精准搜索并打包 map0、map1 以及 D877F783D5D3EF8C 这种命名的加密文件。

逻辑：Telegram 的桌面端采用本地文件认证。只要黑客把这些 tdata 文件拷贝到自己的电脑上，无需账号密码，无需二步验证 (2FA)，就能直接“克隆”并登录你的账号。

脚本在运行时表现出极高的对抗性：

隐藏执行：使用 -W Hidden -E 参数运行，用户在桌面上完全看不到任何窗口弹出。

内存加载：采用 Invoke-Expression (IEX) 模式，代码直接在内存中解密执行，不产生本地临时文件（Fileless），让传统杀毒软件的特征码扫描无功而返。

环境探测：脚本会先请求 api.ipify.org 获取你的公网 IP，并收集主机名、用户名。如果检测到是虚拟机（VM）环境，它会直接自毁以防被安全分析师抓包。

最讽刺的是，黑客利用 Telegram 自己的基础设施来运送赃物。

数据打包：脚本将 tdata 压缩成一个加密的 ZIP。

API 上传：通过 sendDocument 接口，利用硬编码在脚本里的Telegram Bot Token，将压缩包直接发送到黑客的私人群组里。

流量伪装：因为流量是去往 api.telegram.org 的，普通的防火墙会认为这是正常的社交软件通讯，从而放行。

这个案例完美展示了“利用合法平台（Pastebin）+ 合法工具（PowerShell）+ 合法通道（Telegram API）”的三位一体攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 ExtremeHack ExtremeHack《利用 PowerShell 窃取 Telegram 会话》