Moscow
Paris
Beijing
Los Angeles
Yerevan
Tbilisi
Главная Лента Видео Поделиться
Полиция Японии подтвердила гибель россиянина под лавиной Синоптик предупредил москвичей о резком похолодании в конце недели Умерла помощник белгородского губернатора Вера Мангушева Новая Мишель Обама: смелый стиль, подтянутая фигура и сияющее лицо Время близко и мы сделаем все «По-нашему»: послание Самвела Карапетяна Зеленский подтвердил новую трехстороннюю встречу на этой неделе «Аякве»: Власти Армении пытаются добиться отмены регистрации инициативы в качестве наблюдательной миссии Министр: в 2025 году зафиксировано первое рождение олененка в дикой природе ЕС готовит инвестиционный пакет в поддержку Гренландии Армянский храм XV века в Феодосии под угрозой разрушени Врач назвала причины повторного ОРВИ Слоеное тесто и нежная мясная начинка — греческая бугаца, проще не бывает
Лента новостей
Кому и почему мешает название «Арарат 73»? «Паст»Полиция Японии подтвердила гибель россиянина под лавинойСиноптик предупредил москвичей о резком похолодании в конце неделиПочему Армения молча наблюдает за смертельными страданиями международного права? «Паст»Умерла помощник белгородского губернатора Вера МангушеваНовая Мишель Обама: смелый стиль, подтянутая фигура и сияющее лицоВремя близко и мы сделаем все «По-нашему»: послание Самвела КарапетянаЗеленский подтвердил новую трехстороннюю встречу на этой неделе«Аякве»: Власти Армении пытаются добиться отмены регистрации инициативы в качестве наблюдательной миссииМинистр: в 2025 году зафиксировано первое рождение олененка в дикой природеЕС готовит инвестиционный пакет в поддержку ГренландииАрмянский храм XV века в Феодосии под угрозой разрушениВрач назвала причины повторного ОРВИ Слоеное тесто и нежная мясная начинка — греческая бугаца, проще не бывает Азербайджан в 2025 году экспортировал в Армению топливо более чем на $788 тыс.Водитель скорой помощи пострадал при ударе БПЛА в Запорожской областиНикому не открывать: хакеры начали маскировать вредоносные ссылки под TelegramЧисло погибших в результате оползня в Индонезии увеличилось до 17То, что делает Церковь, исходит только и только из интересов армянского народа и Армянской государственности: «Паст»Большая авантюра: что ждет долю США в размере 74 процентов? «Паст»
Вся лента »
Общество

Никому не открывать: хакеры начали маскировать вредоносные ссылки под Telegram

В декабре–январе хакеры провели серию атак на российские оборонно-промышленные предприятия и органы госуправления, сообщили «Известиям» в компаниях по кибербезопасности. Им массово рассылали ссылки якобы на скачивание рабочих документов, которые выглядели как файловое хранилище Telegram. Но при переходе по ссылке потенциальная жертва скачивала вредоносное ПО, которое давало злоумышленникам доступ к аккаунту. Такие захваченные профили в дальнейшем позволяют хакерам выдавать себя за сотрудников компании и получать конфиденциальную информацию из рабочих чатов. О том, как работает схема, — в материале «Известий».


Как преступники атаковали предприятия

Хакерская группировка Vortex Werewolf в декабре 2025-го – январе 2026 года совершила серию атак на российские оборонно-промышленные предприятия и органы государственного управления, рассказали «Известиям» в BI.ZONE Threat Intelligence.

Эта группировка, также известная как SkyCloak, активна с 2024 года и занимается целевыми атаками на предприятия оборонно-промышленного комплекса России и Белоруссии, пояснил аналитик данных Координационного центра доменов .RU/.РФ Евгений Панков. Основной интерес для нее представляет конфиденциальная и служебная информация.

 

Последняя серия атак начиналась с фишинга: потенциальной жертве предлагали скачать «важные рабочие документы» по ссылке, выглядевшей как файловое хранилище Telegram. Переход же по такой ссылке позволял злоумышленникам установить на Windows-устройство пользователя вредоносное ПО, а также перехватить доступ к его аккаунту в соцсети.

В ряде случаев фишинговая ссылка направлялась пользователю напрямую в Telegram, но также могла использоваться и электронная почта. Если пользователь переходил по ней, то запускался процесс восстановления доступа к его Telegram-аккаунту. Жертву просили ввести код, полученный на другом устройстве, а если учетная запись была защищена двухфакторной аутентификацией, то еще и облачный пароль — якобы для того, чтобы документ мог отобразиться полностью. Таким образом атакующие получали доступ к активной сессии Telegram, всем перепискам и контактам пользователя.

— Полученные контакты можно использовать для дальнейшей рассылки фишинговых ссылок, причем делать это с угнанного аккаунта, чтобы сообщения выглядели достоверно и не вызывали подозрений, — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.

Кроме того, по его словам, многие пользователи хранят в «Избранном» фото и сканы документов, ссылки на рабочие ресурсы, а также логины и пароли.

Но только угоном аккаунта преступники не ограничивались. После того как пользователь вводил необходимые коды и пароли, на его устройство загружался zip-архив. Внутри находился вредоносный файл, замаскированный под pdf-документ, а также скрытый каталог с еще одним архивом, который содержал множество файлов. Открывая «документ», пользователь запускал вредоносный скрипт, который в конечном счете предоставлял злоумышленникам удаленный доступ к системе.

 
Итоги кода: как изменились кибератаки в России за 2025 год
Действия хакеров в минувшие месяцы стали носить более деструктивный характер

Откуда проводятся кибератаки на Россию

Рост атак с использованием вредоносного программного обеспечения стал одной из главных тенденций прошлого года. По данным проекта «Доменный патруль», в Рунете было обнаружено 10,6 тыс. доменов, распространяющих вредоносное программное обеспечение, что в два раза больше, чем в 2024 году.

— Вредоносное ПО всё чаще используется как составная часть фишинговых атак, — отметил Евгений Панков. — Оно позволяет злоумышленникам получать удаленный доступ к устройствам и незаметно собирать переписку, аудио- и видеоданные, документы, учетные данные, пароли и другую конфиденциальную информацию.

За десять месяцев 2025 года было обнаружено 18 хакерских кластеров и группировок, семь из которых новые, — это минимум в два раза больше, чем в прошлом году, рассказал руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар» Иван Сюхин.

— Среди наиболее активных сегодня — GOFFEE, Shedding Zmiy, Lifting Zmiy, Partizan Zmiy, Erudite\Obstinate Mogwai и многие другие, — отметил он.

По словам эксперта, в 2026 году уже проявляла активность Rare Werewolf (Librarian Ghouls, Rezet), которая направляла свои атаки в том числе на сотрудников промышленных предприятий и технических вузов.

— Тогда атаки начинались с фишинговых писем, замаскированных под официальные сообщения от реальных организаций их сотрудникам, — добавил Иван Сюхин. — На деле он запускал вредоносный скрипт, помогающий красть учетные данные и внедрять майнеры криптовалют.

Всего российские организации атакуют более 100 хакерских группировок. Преимущественно это хактивисты, а также APT-объединения (Advanced Persistent Threat, целевая продолжительная атака), рассказал руководитель Kaspersky GReAT в России Дмитрий Галов. Основные цели для большинства из них — государственный сектор и промышленность.

— Фишинг — по-прежнему один из основных способов проникновения в инфраструктуру компаний, — рассказал он. — Атакующие всё чаще используют многоэтапные сценарии с реальными документами и маскировкой под настоящие организации, а также подстраиваются под отрасль и актуальную повестку, чтобы заразить компьютер жертвы вредоносным ПО.

Как кубик ляжет: мошенники используют игру в кости в Telegram для обмана
С начала 2026 года уже зафиксировано 800 мошеннических сайтов для кражи крипты

Зачем хакерам Telegram

Telegram как мессенджер атакующим может быть интересен, например, для получения доступа к конфиденциальной переписке между людьми и отправляемым файлам, в том числе в рабочих чатах, рассказал Иван Сюхин.

— Это позволяет узнать самую актуальную информацию о состоянии компании, например, или конфиденциальные данные, которые можно использовать в фишинговой атаке, — сказал эксперт. — Также в некоторых компаниях могут быть настроены двухфакторные системы аутентификации — получение доступа к аккаунту в мессенджере может позволить обойти требования второго фактора.

Не менее опасно и то, что захваченный аккаунт позволяет хакерам выдавать себя за сотрудника или руководителя компании, добавил Евгений Панков. От его имени они могут рассылать сообщения и вредоносные файлы, вовлекая в атаку коллег, партнеров и клиентов. В результате один взломанный аккаунт нередко становится отправной точкой масштабной цепочки атак и серьезных репутационных и финансовых потерь.

— Атаки становятся всё более сложными и незаметными, поэтому гарантировать 100-процентную защиту невозможно, но можно снизить риск успешной атаки, — отметил он.

Например, компании могут ограничивать запуск подозрительных файлов на рабочих компьютерах, регулярно обновлять системы защиты и отслеживать аномальную активность на устройствах.