Схема с ложной доставкой мутирует и становится убедительнее для жертв

Яков Шпунт 28 Ноября 2025 - 12:30

...

Схема с ложной доставкой мутирует и становится убедительнее для жертв

В период ноябрьских распродаж и массовых скидок злоумышленники заметно расширили использование схемы с ложной доставкой. Изменился и сам сценарий атаки: мошенники начали активно применять точные копии сайтов служб доставки, онлайн-магазинов и маркетплейсов.

О том, как эволюционировала схема, применяемая с весны этого года, рассказал Lenta.RU директор по продукту Staffcop и эксперт Контур.Эгиды Даниил Бориславский.

Ранние версии схемы представляли собой классический СМС-фишинг. Их цель — перехват одноразовых кодов, используемых как второй фактор аутентификации на различных сервисах. Далее мог следовать второй этап: подключались лже-сотрудники правоохранительных органов, убеждавшие жертву перевести деньги на «безопасные счета» или передать их курьеру.

По словам Даниила Бориславского, новая схема стала заметно сложнее и убедительнее. Организаторы атак создают полноценные клоны онлайн-ресурсов служб доставки, интернет-магазинов и маркетплейсов.

Значительную роль в новой волне атак играет искусственный интеллект. Нейросети генерируют историю перемещений посылки, автоматически подстраивая статусы под каждое посещение страницы пользователем.

ИИ также используется для создания фальшивых фото-подтверждений, которые на вид почти не отличаются от настоящих документов логистических систем. Генерируются фотографии коробки с этикеткой, штрихкодом и номером заказа, а также «кадры» якобы со склада или снимки курьера с пакетом в руках.

«Любая неожиданная посылка — потенциальный троянский конь. Если вы ничего не ждали, а вам присылают трек-номер, фото коробки или уведомление о получении — это повод насторожиться, — предупреждает Даниил Бориславский. — Мошенники преследуют три цели. Главная — получить доступ к телеграм-аккаунту, убеждая жертву повторно авторизоваться. Вторая — перехватить одноразовый код от сервиса. И только третья — украсть деньги».

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 09:04

Трояны Домашние пользователи

Под видом Telegram-клиентов и игр орудуют Chrome-аддоны для кражи аккаунтов

Исследователи из Socket Threat Research Team обнаружили в Chrome Web Store крупную кампанию с 108 вредоносными расширениями, которые маскировались под вполне безобидные инструменты — от Telegram-клиентов и переводчиков до игр, надстроек для YouTube и TikTok.

По оценке Socket, суммарно эти расширения успели набрать около 20 тысяч установок.

Схема выглядела так: пользователь устанавливал расширение, получал рабочий интерфейс — например, боковую панель для Telegram или простую игру, — а в фоне уже работал вредоносный код.

Все 108 расширений, как утверждают исследователи, были завязаны на единую управляющую инфраструктуру cloudapi[.]stream, через которую операторы собирали похищенные данные.

Чтобы не бросаться в глаза, кампания была разнесена по пяти разным «издателям»: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. На первый взгляд это выглядело как набор независимых разработчиков, но анализ кода показал, что вся эта история, скорее всего, управлялась одним оператором. Дополнительным признаком общей координации Socket называет использование всего двух проектов Google Cloud для OAuth2-инфраструктуры у десятков расширений.

Одним из самых опасных расширений исследователи назвали Telegram Multi-account. По их данным, оно крало активную веб-сессию Telegram из браузера жертвы и отправляло её на сервер злоумышленников каждые 15 секунд. Фактически это позволяло поддерживать почти непрерывное «зеркало» чужого аккаунта.

Но Telegram был не единственной целью. По информации Socket, 54 расширения собирали данные об аккаунтах Google через OAuth2-механизмы. Сами токены, как отмечается, могли не покидать браузер, но злоумышленники использовали их, чтобы получить постоянные идентификаторы жертв: адреса почты, имена и уникальные account ID.

У 45 аддонов исследователи нашли функцию, которая при каждом запуске браузера связывалась с сервером и, если получала нужную команду, незаметно открывала в новой вкладке любой указанный URL. Это уже почти готовый бэкдор: через него можно подсовывать пользователю фишинговые страницы, редиректы или другой вредоносный контент без явного взаимодействия с самим расширением.

Socket также отмечает технические признаки, указывающие на возможную связь кампании с Восточной Европой: в коде нашли русскоязычные отладочные строки, а в одном из файлов политики конфиденциальности — адрес поддержки с упоминанием Киева.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!