Число краж аккаунтов Telegram через фишинг выросло на 25,5%

Число краж аккаунтов Telegram через фишинг выросло на 25,5%

Число краж аккаунтов Telegram через фишинг выросло на 25,5%

Аналитики F6 зафиксировали увеличение числа угонов учетных записей Telegram с использованием фишинговых ресурсов. Согласно исследованию, во втором полугодии 2024 года количество таких инцидентов выросло на 25,5% по сравнению с аналогичным периодом 2023 года.

За июль–декабрь 2024 года одна из русскоязычных групп злоумышленников похитила более 1,24 млн аккаунтов пользователей из России и других стран.

Это превышает показатели аналогичной группировки за вторую половину 2023 года. В ходе исследования было выявлено не менее семи подобных групп, специализирующихся на компрометации учетных записей Telegram.

На теневом рынке средняя цена украденного аккаунта, зарегистрированного на российский номер, составляет около 160 рублей, что на 10 рублей выше, чем в первой половине 2024 года. Цена может варьироваться в зависимости от ряда факторов, включая наличие премиум-подписки, административных прав, каналов, количества диалогов и периода неактивности аккаунта после кражи.

На стоимость также влияют курс валют и общий объем предложений на рынке: чем больше угнанных аккаунтов выставлено на продажу, тем ниже их цена.

Кроме самих учетных записей, злоумышленники проявляют интерес к цифровой валюте Telegram Stars и виртуальным коллекционным подаркам, включая NFT. Эти активы могут автоматически выводиться на подставные учетные записи и впоследствии продаваться. Стоимость NFT-подарков в отдельных случаях достигает сотен долларов.

Для создания фишинговых ресурсов используются веб-панели и телеграм-боты, генерирующие поддельные страницы под разные сценарии. Среди наиболее распространенных схем:

  • уведомления от «службы безопасности»;
  • предложения получить денежный приз или премиум-подписку;
  • голосования и приглашения в «эксклюзивные» каналы.

Выявлена также автоматизированная схема, при которой похищенные аккаунты самостоятельно рассылают мошеннические ссылки. В одной из таких схем пользователям предлагается «отправить резюме работодателю», для чего требуется авторизация через Telegram.

«Украденные аккаунты в популярных мессенджерах остаются востребованным товаром на теневом рынке. Их используют для мошенничества, кражи данных и получения цифровых активов. Автоматизация фишинговых атак превращает компрометацию учетных записей в массовый процесс. Для защиты от таких угроз пользователям и организациям важно соблюдать базовые меры кибербезопасности, включая отказ от ввода данных на сомнительных сайтах и обязательное использование двухфакторной аутентификации», — отмечает Станислав Гончаров, специалист по цифровым рискам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

TARmageddon в Rust-библиотеке async-tar грозит удалённым выполнением кода

Исследователи в области кибербезопасности раскрыли детали серьёзной уязвимости в популярной библиотеке async-tar для языка Rust и её форках, включая tokio-tar. Брешь получила идентификатор CVE-2025-62518 и 8,1 балла по CVSS — это высокий уровень опасности. Эксперты назвали дыру TARmageddon.

По данным компании Edera, которая обнаружила баг в августе 2025 года, уязвимость может привести к удалённому выполнению кода (RCE), если злоумышленнику удастся перезаписать важные файлы — например, конфигурации или компоненты системы сборки.

Async-tar и её производные библиотеки используются в таких проектах, как testcontainers и wasmCloud. Ошибка связана с тем, как библиотека обрабатывает TAR-архивы с расширенными заголовками PAX и ustar. Из-за неправильного определения границ файлов библиотека может «спутать» данные и воспринять часть содержимого архива как новые файлы.

В итоге атакующий может «встроить» во вложенный TAR дополнительные файлы и заставить библиотеку при распаковке перезаписать легитимные данные — что при определённых условиях позволяет выполнить произвольный код.

Особенно тревожно то, что одна из уязвимых библиотек, tokio-tar, фактически больше не поддерживается. Последнее обновление вышло ещё в июле 2023 года, но она по-прежнему активно скачивается через crates.io.

Патча для неё нет, поэтому пользователям советуют перейти на astral-tokio-tar, где в версии 0.5.6 ошибка уже исправлена.

Как объяснил разработчик Astral Уильям Вудрафф, баг связан с тем, как библиотека интерпретирует размеры файлов. В заголовке ustar размер может быть указан как ноль, тогда как расширенный PAX-заголовок содержит правильное значение. В результате библиотека «пропускает» настоящий файл и начинает читать внутренний архив как новый слой.

Это позволяет злоумышленнику спрятать внутри TAR-файла ещё один TAR, который при распаковке перезапишет нужные файлы. Например, подменить pyproject.toml в Python-пакете на вредоносный и изменить процесс сборки.

Edera отметила, что даже безопасные языки вроде Rust не защищают от логических ошибок.

«Rust действительно снижает риск уязвимостей вроде переполнений буфера, но полностью исключить логические баги невозможно. В данном случае проблема именно в логике обработки данных», — заявили исследователи.

Эксперты советуют разработчикам внимательно проверять используемые библиотеки, обновлять зависимости и не полагаться исключительно на язык как гарантию безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru