Фейковый сайт Telegram заражает Windows через поддельный установщик

Специалисты обнаружили новую схему кибермошенничества, направленную на распространение вредоносного программного обеспечения под видом установщика мессенджера Telegram. Злоумышленники создают веб-сайт, визуально идентичный официальному ресурсу Telegram, и используют его для заманивания жертв. При попытке загрузить и установить программу на компьютер пользователя запускается вредоносное ПО.

Вредоносный файл имеет название tsetup-x64.6.exe и выполняет двойную функцию: устанавливает легитимный мессенджер Telegram и осуществляет скрытую установку вредоносного ПО. Пользователь не замечает аномалий в процессе установки и может ошибочно полагать, что установка прошла успешно.

Одной из ключевых характеристик данной атаки является способность обходить защитные механизмы операционной системы Windows. Вредоносное ПО добавляет системные диски C:, D:, E: и F: в список исключений для Windows Defender, что позволяет ему функционировать без вмешательства антивирусного программного обеспечения.

После завершения установочного процесса начинается более скрытая фаза функционирования вредоносного ПО. Компоненты вредоносной программы сохраняются в каталоге AppData\Roaming\Embarcadero, который воспринимается операционной системой как легитимный и не вызывает подозрений. Само вредоносное ПО запускается через процесс rundll32.exe, используя стандартные механизмы Windows.

Полезная нагрузка вредоносного ПО хранится в оперативной памяти и не записывается на жёсткий диск, что затрудняет её обнаружение традиционными методами. Взаимодействие с управляющей инфраструктурой, характерное для сложных вредоносных программ и инструментов удалённого доступа, осуществляется через TCP-соединение с IP-адресом 27.50.59.77:18852, ассоциированным с доменным именем jiijua[.]com. После активации троян получает команды от управляющего сервера, загружает дополнительные модули и обеспечивает постоянный доступ к скомпрометированной системе.