Бесплатный бензин в обмен на Telegram: мошенники придумали новую приманку

Екатерина Быстрова 23 Июня 2026 - 14:04

...

Бесплатный бензин в обмен на Telegram: мошенники придумали новую приманку

Киберпреступники нашли свежий способ угонять телеграм-аккаунты россиян. На этот раз в качестве приманки используются фейковые сайты крупных сетей АЗС, где обещают зарезервировать до 20 литров топлива без очередей и талонов.

О новой схеме сообщили специалисты компании Эфшесть/F6. По данным исследователей, злоумышленники создают поддельные сайты под брендами известных автозаправочных сетей, в том числе работающих на территории Крыма.

Посетителям предлагают оформить предварительную бронь топлива и приехать на АЗС к назначенному времени. Легенда выглядит убедительно: пользователю обещают 20 литров бензина, персональный номер брони и QR-код для получения топлива без ожидания в очереди.

Для оформления заявки жертву просят указать номер телефона, привязанный к Telegram, а затем ввести код подтверждения, который приходит в мессенджер. На самом деле этот код нужен вовсе не для получения бензина, он используется для входа в телеграм-аккаунт жертвы.

После ввода кода злоумышленники получают полный контроль над учетной записью.

Дальше сценариев может быть несколько. Киберпреступники могут читать переписку и получать доступ к файлам, рассылать сообщения контактам с просьбами занять денег, распространять вредоносные ссылки или просто продать угнанный аккаунт на теневых площадках.

В Эфшесть/F6 отмечают, что мошенники традиционно подстраиваются под актуальную информационную повестку и используют темы, которые вызывают у людей повышенный интерес. В данном случае ставка сделана на желание сэкономить время и получить топливо без очередей.

Эксперты напоминают простое правило: никакая акция, скидка или бронь бензина не требует передачи кодов из Telegram. Если сайт просит ввести код подтверждения из мессенджера, речь почти наверняка идет о попытке угона аккаунта.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 08:45

Трояны Домашние пользователи Лаборатория Касперского

В WhatsApp рассылают VBS-файлы для удаленного доступа к ПК жертвы

Киберпреступники развернули новую международную кампанию через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), используя взломанные аккаунты пользователей для распространения вредоносных файлов. Под удар попали пользователи в Бразилии, Индии, Мексике, Великобритании, Испании, России и ряде других стран.

Об атаке сообщили специалисты «Лаборатории Касперского». Жертва получает сообщение от знакомого контакта в WhatsApp.

Внутри лежит файл с названием вроде финансового отчёта, счёта, платёжного документа или уведомления по аккаунту. Названия адаптированы под разные языки и регионы, что говорит о глобальном масштабе кампании.

Но вместо документа пользователя ждёт вредоносный VBS-файл. Как выяснили исследователи, злоумышленники получают доступ к учётным записям WhatsApp и рассылают заражённые вложения по списку контактов. Каким именно способом компрометируются аккаунты, пока неизвестно.

После запуска файла на компьютере под управлением Windows начинается цепочка заражения. Скрипт скачивает дополнительные компоненты, отключает часть защитных механизмов системы и загружает архив с программой ManageEngine Endpoint Central.

Сама по себе ManageEngine Endpoint Central является легитимным корпоративным инструментом удалённого администрирования, который используют ИТ-специалисты для управления рабочими станциями. Однако в данном случае программа устанавливается скрытно и подключается к серверам злоумышленников.

В результате атакующие получают удалённый доступ к компьютеру жертвы практически на правах администратора.

Отдельную опасность представляет версия WhatsApp Desktop. Если в WhatsApp Web вредоносный файл сначала необходимо скачать, то в настольном клиенте Windows такой VBS-файл может запускаться напрямую через Windows Script Host.

Исследователи пока не связывают атаку с конкретной группировкой. Однако в инфраструктуре кампании были обнаружены следы использования китайского языка и пересечения с активностью известных зловредов ValleyRAT и Gh0st RAT.

Эксперты советуют не доверять вложениям даже от знакомых контактов. Если кто-то неожиданно прислал файл с финансовым отчётом или счётом, лучше уточнить его происхождение через звонок или другое средство связи. А любые загруженные файлы перед открытием стоит проверять антивирусом.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!