«Лаборатория Касперского» сообщает об обнаружении новых угроз для пользователей Telegram, которые подписаны на финансовые и трейдинговые каналы. Согласно отчёту Глобального центра исследований и анализа угроз компании, злоумышленники начали распространять троянский вирус в популярных телеграм-каналах, предлагая пользователям загружать вредоносные файлы под видом полезных финансовых инструментов.
Мошенники добавляют к своим публикациям архивы, содержащие файлы с опасными расширениями — .lnk, .com и .cmd. При их открытии на устройстве жертвы активируется вирус DarkMe, который позволяет злоумышленникам удалённо выполнять команды с заражённого устройства и осуществлять кражу данных.
Как работает схема заражения
Эксперты «Лаборатории Касперского» объясняют, что для пользователей загрузка файлов через Telegram может казаться безопасной, особенно когда файл прикреплён к каналу, специализирующемуся на финансовых советах и рекомендациях. В этом и кроется опасность: не подозревая угрозы, жертвы скачивают и запускают вредоносное ПО. Ранее схожие методы использовались на других платформах, таких как Skype, где также распространялись заражённые файлы под видом легитимного контента.
«Загрузки из Telegram или других популярных мессенджеров часто не вызывают подозрений у пользователей, в отличие от скачивания из открытых источников в интернете. Этим активно пользуются киберпреступники, расширяя арсенал вредоносного ПО в популярных каналах», — говорится в отчёте компании.
Рекомендации для защиты
- Частным пользователям рекомендуется установить антивирусные решения от надёжных поставщиков и регулярно повышать киберграмотность. Даже привычные платформы могут быть источником опасных файлов, что требует осторожного подхода к любым загрузкам.
- Для компаний «Лаборатория Касперского» советует предоставлять своим специалистам по информационной безопасности доступ к актуальной информации о новых киберугрозах, регулярно организовывать обучающие мероприятия для сотрудников, а также использовать комплексные системы киберзащиты, адаптированные к современной обстановке.
Предыдущие атаки и новые угрозы
Помимо распространения вируса DarkMe, киберпреступники продолжают использовать разнообразные схемы для атак на российские компании и частных пользователей. Ранее хакеры из группировки Lifting Zmiy осуществляли атаки на российские компании через уязвимые SCADA-системы, отвечающие за управление промышленным оборудованием, включая лифты. Злоумышленники взламывали контроллеры и размещали на них серверы для проведения атак.
Также в 2023 году были замечены новые вирусы LokiLocker и BlackBit, которые использовались для шифрования данных на устройствах жертв с последующим требованием выкупа. Эти вирусы не наносили вред устройствам, где интерфейс был настроен на персидский язык, указывая на их целевую направленность.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах