Специалисты по кибербезопасности выявили новую схему распространения вредоносного программного обеспечения через фальшивый сайт, имитирующий страницу мессенджера Telegram.
Пользователей перенаправляют на ресурс, визуально схожий с официальным, где предлагается скачать установочный файл. Вместо обычного инсталлятора запускается многоэтапная схема заражения системы.
Вредоносный файл маскируется под стандартный установщик и одновременно запускает легитимную версию приложения, чтобы не вызвать подозрений. При этом в фоновом режиме активируется вредоносная программа.
Для обхода защитных механизмов операционной системы используется PowerShell: вредонос добавляет системные диски в список исключений антивируса Windows Defender. Файлы размещаются в системных каталогах, а запуск компонентов осуществляется с помощью штатных инструментов, что затрудняет обнаружение.
После установки программа устанавливает соединение с удаленным сервером управления, откуда может получать команды, загружать дополнительные модули и сохранять доступ к зараженному устройству.