Зашел скачать картинку – раскрыл свой адрес. Посмотрите, как нагло за нами следят через мессенджер

Согласно отчёту Cofense, злоумышленники всё чаще используют Telegram не только для общения и координации атак. Платформа превратилась в удобный канал для кражи данных. Через Telegram-ботов вредоносные программы и фишинговые страницы отправляют украденные учётные данные, снимки экрана и другую информацию прямо в чаты, которые контролируют атакующие.

Telegram давно привлекает злоумышленников благодаря открытому интерфейсу программирования. Платформа позволяет создавать автоматизированные учётные записи ботов, которые могут отправлять сообщения, загружать файлы и скачивать содержимое из чатов. Злоумышленники используют такую функциональность как полноценный сервер управления вредоносной инфраструктурой. Вредоносная программа собирает данные на заражённом компьютере и через запрос к интерфейсу Telegram пересылает информацию в чат группировки.

По данным специалистов, Telegram выступал каналом управления примерно в 3,8% кампаний с использованием вредоносных программам с первого квартала 2024 года по второй квартал 2025 года. В атаках с фишинговыми страницами, направленными на кражу учётных данных, доля Telegram составляла около 2,3%. Статистика учитывает отдельные кампании, каждая из которых могла включать множество писем и различных образцов вредоносных файлов.

Самый простой сценарий связан с фишинговыми формами. Когда жертва вводит логин и пароль на поддельной странице, сайт отправляет данные через запрос к методу sendMessage интерфейса Telegram Bot API. Сообщение с украденной информацией попадает прямо в чат злоумышленников. В сетевом запросе можно увидеть идентификатор бота и номер чата, куда отправляют данные. Ответ сервера также раскрывает дополнительные сведения о боте, включая имя учётной записи и название чата.

Telegram активно используют и вредоносные программы. Один из самых заметных примеров – клавиатурный шпион Agent Tesla. Вредоносная программа умеет отправлять данные через электронную почту, FTP или обычные HTTP-запросы, однако в некоторых конфигурациях использует Telegram. В таком случае вредоносный код загружает в чат текстовые файлы или архивы с украденными данными: паролями из браузеров, почтовых клиентов и FTP-программ. В 2024 году около 77,7% кампаний с использованием Telegram в качестве канала управления приходились именно на Agent Tesla.

Иногда Telegram используют даже без участия вредоносной программы на компьютере жертвы. Некоторые варианты WSH RAT отправляют сведения о компьютере прямо со страницы загрузки вредоносного файла. Когда пользователь открывает страницу, скрипт передаёт в чат злоумышленников IP-адрес, страну, город, регион и строку user-agent браузера. Такой механизм позволяет атакующим сразу узнать, что жертва скачала файл.

Другой пример связан с программой Pure Logs Stealer и группировкой Lone None. В ранних версиях вредоносный код отправлял украденные данные через сообщения бота. Более поздние образцы используют профиль Telegram-бота как часть цепочки загрузки вредоносного кода. В описании профиля хранится строка, которая становится частью ссылки на временное хранилище файлов, откуда затем загружается вредоносный сценарий на Python.

Интересная особенность Telegram облегчает анализ подобных кампаний. Если получить токен авторизации бота и идентификатор чата, можно обратиться к интерфейсу Telegram и просмотреть историю сообщений. Методы getUpdates и forwardMessage позволяют переслать сообщения бота в чат, который контролирует аналитик. При этом нужные параметры часто можно найти прямо в сетевых запросах вредоносной страницы или программы, поскольку бот передаёт токен и идентификатор чата в каждом обращении к интерфейсу.

Telegram стал удобным инструментом для кражи данных во многом благодаря легальности сервиса и простоте использования интерфейса. Вредоносный код или фишинговая страница отправляют обычный HTTPS-запрос к адресу api.telegram.org, после чего данные сразу оказываются в чате злоумышленников.

Снизить риск утечки помогают базовые меры. Пользователям стоит внимательнее относиться к подозрительным письмам, ссылкам и вложениям. В организациях, где Telegram-боты не используются для рабочих задач, можно полностью блокировать обращения к интерфейсу Telegram Bot API. Такой трафик обычно проходит через адрес api.telegram.org с указанием токена бота и имени метода, например sendMessage или sendDocument.