После постов в Telegram: в России задержали подозреваемых в разогреве акций

Екатерина Быстрова 13 Апреля 2026 - 12:46

...

После постов в Telegram: в России задержали подозреваемых в разогреве акций

Силовики сообщили о задержании подозреваемых в манипулировании российским фондовым рынком через телеграм-каналы. По данным МВД, ФСБ и Следственного комитета, речь идёт о трёх сотрудниках компании PFL Advisors. В отношении них возбуждено уголовное дело по ч. 2 ст. 185.3 УК РФ, а сами фигуранты уже отправлены под стражу.

Как утверждает следствие, схема работала в 2023–2024 годах. После публикаций в подконтрольных телеграм-каналах постов о якобы привлекательных бумагах подозреваемые совершали сделки на Мосбирже и, по версии правоохранителей, разгоняли цену активов.

В материалах дела упоминаются каналы «РынкиДеньгиВласть | РДВ», «Волк с Мосбиржи» и «Сигналы РЦБ».

Следствие считает, что фигуранты использовали классическую стратегию pump and dump: сначала активно подогревали интерес к бумагам и подталкивали цену вверх, а затем проводили обратные операции уже по искусственно сформированной стоимости.

По предварительным данным, таким образом было проведено более 55 тысяч операций с акциями и депозитарными расписками 19 крупных российских компаний.

Во время обысков у задержанных изъяли деньги, электронные носители, аппаратные криптокошельки, мобильные телефоны, банковские и сим-карты, документы и другие материалы, которые следствие считает доказательствами. По данным НТВ, среди изъятого также были ценности на сумму свыше 3 млн рублей.

История выглядит особенно громко ещё и потому, что речь идёт не о кулуарных манипуляциях, а о раскрутке бумаг через публичные инвестканалы с большой аудиторией. По данным «Ведомостей», совокупная аудитория трёх упомянутых телеграм-каналов составляет около 300 тысяч человек.

Теперь следствию предстоит доказать в суде, что публикации в каналах действительно были частью заранее выстроенной схемы влияния на рынок, а не просто агрессивной инвестиционной риторикой. Но уже сейчас дело выглядит как один из самых заметных эпизодов вокруг телеграм-каналов и фондового рынка за последнее время.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Мая 2026 - 09:07

Windows Трояны Домашние пользователи

Новый троян крадёт банковские данные и сам рассылает себя через WhatsApp

Исследователи из Elastic Security Labs обнаружили новый банковский троян TCLBanker. Он нацелен на 59 банковских, финтех- и криптовалютных платформ и распространяется через троянизированный MSI-установщик, замаскированный под Logitech AI Prompt Builder.

После заражения TCLBanker загружается в контексте легитимного приложения Logitech через стороннюю загрузку DLL. Такой подход помогает выглядеть менее подозрительно для защитных решений.

Троян также активно сопротивляется анализу. Он проверяет окружение, мешает запуску в песочницах и следит за появлением инструментов вроде IDA, Ghidra, x64dbg, dnSpy, Frida и ProcessHacker. Если замечает признаки анализа, вредоносная составляющая может не раскрыться.

Основной банковский модуль раз в секунду отслеживает адресную строку браузера через Windows UI Automation API. Если пользователь открывает сайт одной из целевых финансовых платформ, троян связывается с командным сервером и передаёт сведения о системе и жертве.

Дальше оператор получает довольно широкий набор возможностей: просмотр экрана в реальном времени, снятие скриншотов, кейлоггинг, перехват буфера обмена, выполнение команд, управление окнами, доступ к файловой системе и удалённое управление мышью и клавиатурой. Во время активной сессии троян может завершать процесс Диспетчера задач, чтобы пользователь не заметил происходящее.

Для кражи данных TCLBanker использует поддельные оверлеи. Он может показывать фейковые формы входа, ввод ПИН-кода, окна поддержки банка, экраны ожидания, имитацию Windows Update и другие элементы, которые маскируют действия злоумышленников.

Отдельно исследователи выделяют модуль самораспространения. TCLBanker ищет данные WhatsApp Web (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) в профилях Chromium, запускает скрытый экземпляр браузера и использует аккаунт жертвы для рассылки сообщений контактам.

Ещё один модуль работает через Microsoft Outlook. Вредоносная программа запускает Outlook, собирает контакты и адреса отправителей, а затем рассылает фишинговые письма уже с почты жертвы.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!