Фальшивый сайт Telegram заражает Windows через поддельный установщик

Екатерина Быстрова 18 Марта 2026 - 11:06

...

Фальшивый сайт Telegram заражает Windows через поддельный установщик

Исследователи обнаружили новую вредоносную кампанию, в которой злоумышленники маскируют вредонос под инсталлятор Telegram. Жертву заманивают на домен telegrgam[.]com, который визуально очень похож на официальный сайт мессенджера, а дальше предлагают скачать якобы обычный инсталлятор Telegram.

На деле вместо нормальной установки запускается целая цепочка заражения. Вредоносный файл называется вполне правдоподобно — tsetup-x64.6.exe — и одновременно с вредоносной нагрузкой действительно подбрасывает на компьютер легитимный установщик Telegram, чтобы у жертвы не возникло лишних подозрений.

Пользователь видит, что Telegram установился, и может не заметить, что параллельно в системе уже работает совсем другой процесс.

Одна из самых неприятных особенностей этой атаки — вмешательство в защиту Windows. По описанию исследователей, зловред через PowerShell добавляет системные диски C:, D:, E: и F: в список исключений Windows Defender. Проще говоря, антивирусу предлагают «не замечать» происходящее на этих разделах. После этого жить в системе вредоносу становится заметно комфортнее.

Дальше начинается уже более аккуратная маскировка. Компоненты зловреда складываются в каталог AppData\Roaming\Embarcadero, название выбрано не случайно — оно похоже на что-то легитимное и не сразу бросается в глаза. При этом сам вредоносный DLL-файл запускается через rundll32.exe, то есть использует штатный процесс Windows, чтобы выглядеть менее подозрительно. Исследователи отдельно отмечают, что полезная нагрузка собирается в памяти и не записывается на диск в привычном виде, что тоже усложняет обнаружение.

Связь с управляющей инфраструктурой у кампании тоже вполне типичная для серьёзных загрузчиков и RAT-инструментов. После активации троян устанавливает TCP-соединение с 27.50.59.77:18852, связанным с доменом jiijua[.]com, и дальше уже может получать команды, догружать новые модули и поддерживать постоянный доступ к системе.

Сегодня мы также писали об «ускорителях» Telegram, заражающих россиян троянами.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 18 Марта 2026 - 11:18

Соответствие законодательству РФ Домашние пользователи Государство Системы аутентификации Биометрические системы аутентификации

Людям с дефектами лица и голоса упростят сбор биометрии

На общественное обсуждение вынесен проект приказа Минцифры, который упрощает сбор биометрических данных для людей с выраженными дефектами лица и речи, а также для полностью немых. Этот документ должен заменить приказ Минцифры № 453, принятый в мае 2023 года и регламентирующий порядок сбора биометрии.

Проект размещён на портале проектов нормативных правовых актов.

Согласно действующему приказу, при сборе биометрических данных не предусмотрено никаких исключений, в том числе при фотографировании лица и записи образцов голоса. На практике это создаёт серьёзные препятствия для людей с выраженными нарушениями речи или для полностью немых.

«Текущий сценарий регистрации биометрических данных в Единой биометрической системе (ГИС ЕБС) не позволяет корректно разместить биометрические данные физических лиц с врождёнными или приобретёнными особенностями речевой функции», — говорится в пояснительной записке к документу.

Новый приказ допускает регистрацию биометрии без записи образца голоса. Кроме того, для людей с выраженными дефектами лица — например, пигментными пятнами, шрамами, последствиями травм или аномалиями развития — предлагается разрешить сбор биометрических данных по одной модальности.

Использование биометрии уже подтвердило свою надёжность как инструмента идентификации и аутентификации. Так, согласно данным банка ВТБ, случаи хищения средств были зафиксированы лишь у 0,0025% клиентов, использующих этот способ.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!