Фейковый сайт Telegram распространяет вредонос через поддельный установщик

Исследователи выявили новую кампанию, где злоумышленники используют поддельный установщик Telegram. Пользователя заманивают на сайт telegrgam[.]com, визуально похожий на официальный, и предлагают скачать «обычный» инсталлятор. На самом деле запускается цепочка заражения.

Маскировка вредоносного файла

Вредоносный файл называется tsetup-x64.6.exe. Он одновременно подбрасывает легитимный установщик Telegram, чтобы не вызвать подозрений, но параллельно запускает скрытую вредоносную нагрузку.

Обход защиты Windows

Троян через PowerShell добавляет диски C:, D:, E: и F: в исключения Windows Defender, что позволяет ему работать почти незаметно. Компоненты складываются в каталог AppData\Roaming\Embarcadero, а DLL-файл запускается через rundll32.exe для маскировки.

Связь с управляющей инфраструктурой

После активации троян устанавливает TCP-соединение с 27.50.59.77:18852, связанным с доменом jiijua[.]com, и может получать команды, загружать новые модули и поддерживать постоянный доступ к системе, сообщает anti-malware.ru.

Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.

Читайте также:

• «Мы устали это терпеть»: что Wildberries и Ozon скрывают от покупателей с крупными покупками
• Не нарушай традиции! Что можно и нельзя делать 19 марта по народным приметам
• Этот тренд уже захватывает соцсети: какие яйца будут в моде на Пасху-2026
• Россияне массово избавляются от квартир: эксперт объяснил, что стоит за этим
• «Мы меняем условия»: Wildberries и Ozon неожиданно обратились к покупателям