Мошенники выдают вирус за Telegram Premium
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Недавно появилась новая вредоносная кампания, которая атакует пользователей с помощью фейкового сайта Telegram Premium. Если вам попадается веб-страница с адресом telegrampremium[.]app — держитесь подальше: это ловушка, замаскированная под официальный платный сервис популярного мессенджера Telegram.
На этом сайте автоматически скачивается файл start.exe, написанный на языках C и C++, причём пользователю не нужно ничего специально подтверждать. Как только этот исполняемый файл запускается, вредоносная программа начинает собирать личные данные, такие как пароли, сохранённые в браузере, данные криптовалютных кошельков и другую информацию о системе владельца компьютера. Всё это повышает риск кражи личности и других неприятных последствий.
Специалисты из Cyfirma отмечают, что вредонос распространяется через механизм "drive-by download" — это когда файл загружается без какого-либо согласия пользователя. Эксперты доказали, что программа активно маскируется с помощью специальных шифровальщиков (крипторов), что затрудняет её обнаружение антивирусными программами.
Анализ показал: вредонос импортирует множество функций Windows API, позволяя себе манипулировать файлами, изменять системный реестр, управлять буфером обмена, запускать другие вредоносные программы и избегать обнаружения. Уловка – создание внешних DNS-запросов через сервисы Google, что обходит многие ограничения внутри корпоративных сетей.
Мало того, вредонос поддерживает связь с такими сервисами, как Telegram и Steam Community, и использует специальные алгоритмы для генерации множества доменных имён. Всё это позволяет ему избегать блокировок и поддерживать каналы управления, когда стандартные средства защиты ничего не подозревают.
Фейковый домен был создан недавно и, скорее всего, задуман для краткосрочной атаки. Уже известно, что на заражённом устройстве появляется множество "маскирующихся" файлов во временных папках Windows — часто это зашифрованные программы под видом изображений, которые затем могут быть переименованы и запущены как отдельные скрипты для стирания следов только что произошедшего заражения.
Программа способна задерживать свою работу (например, через функцию Sleep) или незаметно подключать внешние библиотеки (через LoadLibraryExW), чтобы обмануть экспертов по кибербезопасности, которые пытаются заметить её сразу.
Эксперты советуют проявлять максимальную осторожность: не загружать программы с сомнительных ресурсов, особенно если обещают премиум-доступ, и использовать современные средства защиты.
PEREC.RU
Маркетологи Telegram Premium небось опять нервно курят в сторонке. Фейковый сайт с отличным копированием фирменного стиля моментально собирает доверчивых пользователей – и тут начинается шоу. Вместо премиум-фишек – очередная порция Lumma Stealer, напоминающего забытый торт в холодильнике: раз чуть отвлекся – уже не исправишь.
"Магия" drive-by download – пользователь даже не успевает подумать, как у него уже новые гости в системе, а антивирус дружелюбно хлопает ушами. Вирус меняет маски, строит из себя картинки и скрипты, общается с Telegram и Steam – почти как подросток-хулиган, только чуть эффективнее.
Новые домены создаются, чтобы тут же исчезнуть, а фейковый премиум уже где-то рядом. Уже завтра откроют новое зеркало – и круг повторится. Совет вечный: халява опасна. Следите за своими руками и операционной системой, иначе сериал «Пользователь-неудачник» так и не закончится.
