Эксперты группы компаний (ГК) «Солар» обнаружили масштабную сеть из более 300 тематических вредоносных ресурсов с изображениями, предназначенных для кражи аккаунтов в Telegram. По словам ИБ‑специалистов, на картинки с таких сайтов любой пользователь может «наткнуться» в поисковой выдаче, а переход по ней увеличивает риск потери аккаунта. Эксперты отмечают, что это самая массовая кампания в Рунете, нацеленная на взлом Telegram‑аккаунтов.
Злоумышленники применяют различные методы сокрытия вредоносной составляющей, чтобы сайт было сложнее заблокировать. Хакеры создали сеть из вредоносных ресурсов в декабре 2023 года. Сайты представляют собой однотипные страницы с сотнями тысяч изображений и описаний. Как утверждают эксперты ГК «Солар», изображения объединены по тематикам, например, были найдены сайты с картинками по аниме, фанфикам, интернет‑мемам, порнографическим изображениям, корейским сериалам и еде. Также злоумышленники уделяют значительное внимание вопросам поисковой оптимизации.
Механизм работы такого сайта выглядит следующим образом: пользователь нажимает на ссылку или изображение, чтобы увидеть его первоисточник, а вместо сайта с картинкой идёт переадресация на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Такие фишинговые сайты часто использует название Telegram‑сообщества «Тебе понравится».
При попытке присоединиться к сообществу жертва попадает на страницу с QR‑кодом или формой логина и пароля для входа в Telegram. После ввода на фейковом ресурсе данных для входа в Telegram‑аккаунт, информация автоматически отправляется к злоумышленникам. Защититься от таких краж не помогает даже двухфакторная аутентификация: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получат доступ к профилю на своём устройстве и смогут завершить сессию настоящего владельца аккаунта.
Эксперты рассказали, что мошенники используют домены, не имеющие привязки по тематике к распространяемым изображениям, друг к другу или к мессенджеру. Сами фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы сокрытия вредоносного содержимого. К примеру, сайты в автоматическом режиме проверяют, откуда был осуществлён переход по ссылке. Если пользователь перешёл не со страницы поисковой системы, то вместо фишингового сайта ему демонстрируется исходное искомое изображение. Это делается для того, чтобы затруднить блокировку этих ресурсов. Так, при жалобе пользователя на такой сайт присланная ссылку на вредоносный контент просто не откроется.
Источник новости: habr.com
