Опубликовано: 18.03.2026, 13:54
Исследователи обнаружили новую кибератаку, в которой злоумышленники распространяют вредоносное ПО через поддельный сайт Telegram, маскируя его под официальный установщик.
Пользователей перенаправляют на фальшивый домен, визуально похожий на официальный сайт мессенджера. Там предлагается скачать якобы стандартный установочный файл. На деле запускается цепочка заражения системы, сообщает Anti-Malware.ru.
Вредоносный файл имеет правдоподобное название и одновременно устанавливает настоящий Telegram, чтобы не вызвать подозрений. Пока пользователь уверен, что всё прошло корректно, в системе уже активируется скрытый зловред.
Одной из ключевых особенностей атаки является отключение защиты. С помощью PowerShell вредонос добавляет системные диски в исключения Windows Defender, фактически лишая антивирус возможности обнаружить угрозу.
Затем компоненты вредоносной программы маскируются под легитимные файлы и размещаются в системных папках. Для запуска используется штатный процесс rundll32.exe, что усложняет выявление.
Дополнительно вредонос работает преимущественно в оперативной памяти, не оставляя явных следов на диске. После активации он устанавливает соединение с удалённым сервером, получая команды и позволяя злоумышленникам сохранять контроль над устройством.
Эксперты отмечают, что подобные схемы характерны для сложных троянов и RAT-инструментов, способных незаметно управлять системой жертвы.
Пользователям рекомендуют скачивать программы только с официальных сайтов, избегать подозрительных ссылок и внимательно проверять адреса страниц перед загрузкой файлов.
