proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2Fd55abe0f412151915e4e5.png&hash=33580fd9a5a7a336a3f31e48950f7d7b

Для начала снова быстренько пробежимся по общей информации. Суть стиллера заключается в том, что при запуске жертвой .exe файла, программа проверяет наличие на пк Telegram и, если находит его, то копирует папку "tdata" и отправляет хозяину программы на сервер.

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F72130bdb6a7a4a8b201b0.png&hash=4a4923273184aab7e77a044eea27a69c

Для тех кто не знает, что это за папка и почему нам нужна именно она: при первом запуске Telegram на ПК у вас создается папка tdata, в которой хранится вся информация аккаунта, если злоумышленники украдут данную папку, то они смогут войти в аккаунт без смс подтверждения, ниже распишу об этом подробнее.

Суть​

Установка VisualStudio

Переходим по ссылочке и скачиваем Visual Studio 2019.

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2Fd1ef3b06640e04e6e879e.png&hash=ef39d6764f99105f748b837a2af42bd7

Жмем "Скачать". После того как мы скачали студию, мы должны нажать на галочку 👇

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F42fc4153d9dd733618618.png&hash=bfde54643e16f46f7cedb756ab0a3aa7

Настройка хостинга

Итак, тут нам уже любой хостинг подходит, главное - FTP подключение. Я зарегался в VDSina, также могу порекомендовать TimeWeb (да-да он, не реклама так-то). Регаемся, создаем сайт, и получаем в панели управления данные для подключения к FTP

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F6bfe53cc30a8716212dc3.png&hash=ff5a4c13d423daf04873665257e068f4

Сохраняем наши данные, и переходим к коду.

Настройка и билд кода

Ссылка на код:

Скачиваем, распаковываем архив, и открываем TeleSteal.sln через Visual Studio.

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2Fc4a6c5d8e44a5e4fd8ccb.png&hash=4bb2026c822273ad87f6bd8d4513d0c7

Выбираем Program.cs, листаем в самый низ кода, и мы должны увидеть этот блок. В эти три переменные мы вставляем данные от нашего FTP хоста.

В моем случае, это:

host = "files.000wehhost.com"

login = "DOLFX"

pass = "тут мой пароль"

Все! Нам осталось выбрать сверху вместо Debug > Release, и нажать Ctrl + B, чтобы создать билд нашего кода.

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2Fa4db043c7b19a73f81e5b.png&hash=09712fa6d64ed05d153dfdb55c53d199

После этого у вас сгенерируется файл TeleSteal.exe, он по умолчанию будет лежать в папке TeleSteal, которую мы скачали с гитхаба. Этот файл и является нашим вредоносом, название его можно менять. После того, как жертва запустит скрипт TeleSteal.exe ничего не произойдет, но это только на первый взгляд.

Чтобы получить ворованные данные - нам нужно зайти в файловый менеджер вашего хостинга (вам придёт столько папко tdata, сколько раз жертва запустит ваш файл) 👇

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F4701f9dfb3438430cbe2c.png&hash=d161d7339fbcd63f826f890a1dc84625

Как видите, у нас появился архив с папкой tdata, это папка с ПК жертвы, которая открыла ваш стиллер.

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F14054bf2086c4a27d4f5c.png&hash=0f2b919ca0a1a8e0f2576a6fc27b4807

Вот внутренности папки, скачиваем её на свой пк, распаковываем из архива все эти файлы, создаём папку с названием "tdata" и отправляем все эти файлы в папку.

Теперь мы можем войти в аккаунт жертвы, для этого мы скачиваем официальное приложение Telegram для ПК, не запускаем его, создаем новую папку, засовываем туда tdata с файлами жертвы и приложение Telegram, должно получиться вот так

proxy.php?image=https%3A%2F%2Ftgraph.io%2Ffile%2F4b932b660c25f81db223f.png&hash=ebc504d7b7affae528c30d5add5d5a76

Подсказка: если архив с тдатой весит меньше 6мб, то скорее-всего это пустой лог (то есть телеграм на пк жертвы есть, но он не авторизован).

Запускаем приложение Telegram, готово, мы в аккаунте жертвы!