Под видом VPN и прокси россиянам всё чаще подсовывают зловреды

Тема обхода блокировок в интернете стала одной из самых популярных у организаторов атак. Вредоносные приложения, чаще всего инфостилеры, нацеленные на кражу данных, а также майнеры криптовалют злоумышленники маскируют под VPN, «ускорители» различных сервисов или альтернативные клиенты для мессенджеров.

По оценкам основателя компании «Интернет-розыск» Игоря Бедерова, которые он привёл в комментарии для «Известий», по итогам января-февраля 2026 года число таких кибератак выросло на 38%. Всего, по его данным, было зафиксировано около 4800 подобных эпизодов.

Почти половина таких атак — 46% — происходила через мессенджеры. Довольно распространёнными каналами также остаются электронная почта (28%) и соцсети (18%). Как отмечает эксперт, злоумышленники в ходе различных обсуждений предлагают воспользоваться «патчем», «настройкой от оператора» или «альтернативным приложением», однако на деле всё это оказывается вредоносным ПО.

Эксперт Kaspersky GReAT Леонид Безвершенко добавил, что давно известный стилер Arcane, который раньше распространялся под видом утилиты для мошенничества в играх, теперь продвигается как средство обхода ограничений. Этот зловред представляет собой инфостилер, который крадёт логины и пароли, данные банковских карт, информацию из браузеров и криптокошельков.

«Зафиксировано не менее двадцати видеороликов с рекламой такого ПО, суммарно набравших десятки тысяч просмотров. Параллельно в марте была выявлена кампания по распространению скрытого майнера SilentCryptoMiner, который устанавливается на компьютер пользователя и использует его ресурсы для добычи криптовалют. При этом заражение зачастую происходит незаметно: вредонос маскируется под полезный инструмент, а сам процесс установки сопровождается имитацией «загрузки» нужного приложения», — рассказал Леонид Безвершенко.

Аналитик Positive Technologies Анна Вяткина назвала эти кампании типичным примером социоинженерных атак. По её словам, злоумышленники эксплуатируют, с одной стороны, желание пользователей сохранить доступ к привычным сервисам, а с другой — их техническую неграмотность.

«В результате даже очевидно сомнительные предложения, такие как «автономная работа мессенджера» или «полный доступ без ограничений», находят свою аудиторию. Помимо распространения вредоносного ПО через видеохостинги, широко используются фишинговые ссылки с предложениями бесплатных VPN и прокси, которые дают злоумышленникам доступ к аккаунтам, сообщениям и банковским приложениям», — уточнила Анна Вяткина.

Ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров отметил, что количество таких атак резко выросло после 10 февраля, когда было объявлено о замедлении Telegram. Как правило, речь шла об использовании ботов, предназначенных для угона аккаунтов или установки программных зловредов. Встречались и более сложные схемы, связанные с установкой VPN или активацией «анонимных» режимов. В итоге всё часто заканчивалось блокировкой устройства и требованием денег за восстановление его работоспособности.

По оценкам руководителя Smart Business Alert компании «ЕСА ПРО» Сергея Трухачева, с середины февраля тема блокировок стала для мошенников ключевым триггером. Так, только в марте появилось не менее 150 вредоносных ресурсов, эксплуатировавших тему обхода блокировок. На них пользователям предлагали фейковые VPN или якобы «офлайновые» версии популярных онлайн-игр.

«Параллельно распространяется фишинг под видом «официальных решений»: через взломанные аккаунты пользователям отправляют ссылки на «голосования» или конкурсы, ведущие на поддельные страницы Telegram, где предлагается подключить прокси. На практике это используется для перехвата кода подтверждения и угона аккаунта», — добавил Сергей Трухачев.

По мнению экспертов, распространение подобных схем будет только усиливаться. Главной защитой в этой ситуации остаётся критическое отношение к любым предложениям «обойти» ограничения, особенно если речь идёт об установке стороннего ПО или вводе данных на неизвестных ресурсах.