В Telegram снова всплеск взломов аккаунтов с целью угона популярных сообществ. Схема уже известная: от имени, например, компании Ozon приходит предложение о сотрудничестве – предлагают разместить рекламный пост.
В сообщении также содержится архивированная папка с якобы рекламным текстом и изображением, в которых есть вирус. Троян «вшит» в файлы с расширением «.scr», «.com», реже — «.doc» и имеет название вроде «условия_сотрудничества» или «промо-видео». Если администратор канала откроет его — в считанные минуты потеряет доступ к своему ресурсу. Мошенник удаляет всех админов из канала, меняет контакты и становится его полноправным владельцем.
Также злоумышленники могут отправить файл, внутри которого находится более продвинутый стилер — REDLINE. С помощью него можно украсть конфигурационные файлы, позволяющие восстановить сессию на другом устройстве. Если у владельца Telegram-канала не включен код-пароль приложения, то злоумышленники смогут восстановить сессию и сменить владельца канала.
Как заподозрить злоумышленника? Он будет настойчиво предлагать открыть архив или заполнить непонятную анкету:
Что делать, если получили такое сообщение? Желательно даже не скачивать архив, и тем более не открывать и не запускать файлы из него.
Но если все же открыли, и на компьютере владельца канала произошло заражение, нет смысла устанавливать код-пароль, считают эксперты Group-IB. Вирус может обладать возможностями клавиатурного шпиона. Специалисты компании советуют администратору выключить инфицированный компьютер, а с помощью другого устройства (например, смартфона) сменить облачный пароль в настройках конфиденциальности. Затем сменить облачный пароль и установить код-пароль на других доверенных устройствах.
Напомним, суммарное число неуникальных подписчиков русскоязычных каналов в Telegram за 2022 год выросло вдвое — с 1 млрд до 2 млрд, показало исследование рекламного агентства TGStat Agency.