Мошенники крадут Google и Telegram-аккаунты через поддельный Zoom

Екатерина Быстрова 28 Августа 2025 - 12:59

...

Мошенники крадут Google и Telegram-аккаунты через поддельный Zoom

Эксперты зафиксировали новый сценарий атак, нацеленных на предпринимателей и менеджеров. Злоумышленники выходят на потенциальных жертв в Telegram, представляясь клиентами, и предлагают обсудить сотрудничество в Zoom.

Вместо настоящего приглашения они присылают поддельную ссылку, которая ведёт на фишинговый ресурс. Пользователь сначала проходит несколько капч, а затем попадает на страницу входа в Google-аккаунт.

После ввода логина и пароля у жертвы дополнительно запрашивают код подтверждения. Именно этот код нужен атакующим, чтобы перехватить доступ ещё и к Telegram.

Чтобы ускорить процесс и не дать жертве времени на сомнения, мошенники могут параллельно писать или звонить, торопя с вводом данных.

Получив доступ к Google-аккаунту, они проверяют, есть ли привязанные криптокошельки или биржевые сервисы, и могут использовать учётку для поиска конфиденциальной информации или доступа к банковским ресурсам.

По словам специалистов, в этой схеме ничего принципиально нового нет — это классическая комбинация общения в мессенджере и фишинговой ссылки. Но легенда с «бизнес-версией Zoom» и дополнительное давление на жертву делают атаку убедительнее.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 08:45

Трояны Домашние пользователи Лаборатория Касперского

В WhatsApp рассылают VBS-файлы для удаленного доступа к ПК жертвы

Киберпреступники развернули новую международную кампанию через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), используя взломанные аккаунты пользователей для распространения вредоносных файлов. Под удар попали пользователи в Бразилии, Индии, Мексике, Великобритании, Испании, России и ряде других стран.

Об атаке сообщили специалисты «Лаборатории Касперского». Жертва получает сообщение от знакомого контакта в WhatsApp.

Внутри лежит файл с названием вроде финансового отчёта, счёта, платёжного документа или уведомления по аккаунту. Названия адаптированы под разные языки и регионы, что говорит о глобальном масштабе кампании.

Но вместо документа пользователя ждёт вредоносный VBS-файл. Как выяснили исследователи, злоумышленники получают доступ к учётным записям WhatsApp и рассылают заражённые вложения по списку контактов. Каким именно способом компрометируются аккаунты, пока неизвестно.

После запуска файла на компьютере под управлением Windows начинается цепочка заражения. Скрипт скачивает дополнительные компоненты, отключает часть защитных механизмов системы и загружает архив с программой ManageEngine Endpoint Central.

Сама по себе ManageEngine Endpoint Central является легитимным корпоративным инструментом удалённого администрирования, который используют ИТ-специалисты для управления рабочими станциями. Однако в данном случае программа устанавливается скрытно и подключается к серверам злоумышленников.

В результате атакующие получают удалённый доступ к компьютеру жертвы практически на правах администратора.

Отдельную опасность представляет версия WhatsApp Desktop. Если в WhatsApp Web вредоносный файл сначала необходимо скачать, то в настольном клиенте Windows такой VBS-файл может запускаться напрямую через Windows Script Host.

Исследователи пока не связывают атаку с конкретной группировкой. Однако в инфраструктуре кампании были обнаружены следы использования китайского языка и пересечения с активностью известных зловредов ValleyRAT и Gh0st RAT.

Эксперты советуют не доверять вложениям даже от знакомых контактов. Если кто-то неожиданно прислал файл с финансовым отчётом или счётом, лучше уточнить его происхождение через звонок или другое средство связи. А любые загруженные файлы перед открытием стоит проверять антивирусом.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!