Фейковый сайт Telegram маскирует вредонос под установщик для Windows

Злоумышленники создают сайт telegrgam[.]com, похожий на официальный Telegram, чтобы распространять вредоносный установщик. Пользователь видит, что мессенджер устанавливается, но параллельно работает скрытая вредоносная программа.

Обход антивирусной защиты

Троян через PowerShell добавляет системные диски в исключения Windows Defender. Компоненты скрываются в AppData\Roaming\Embarcadero, а DLL запускается через стандартный процесс rundll32.exe.

Сетевая активность

После запуска вредонос устанавливает TCP-соединение с 27.50.59.77:18852 (домен jiijua[.]com), что позволяет получать команды, загружать новые модули и поддерживать постоянный доступ к системе.

Особенности маскировки

Полезная нагрузка работает в памяти, не записывается на диск в привычном виде, что затрудняет обнаружение вредоноса и делает атаку особенно опасной для пользователей Windows.

Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.