Специалисты ГК «Солар» выявили масштабную сеть вредоносных сайтов с картинками для кражи Telegram‑аккаунтов

Эксперты группы компаний (ГК) «Солар» обнаружили масштабную сеть из более чем 300 тематических вредоносных ресурсов с изображениями, предназначенными для кражи аккаунтов в Telegram. По словам ИБ‑специалистов, на картинки с таких сайтов любой пользователь может «наткнуться» в поисковой выдаче, а переход по ней увеличивает риск потери аккаунта. Эксперты отмечают, что это самая массовая кампания в Рунете, нацеленная на взлом Telegram‑аккаунтов. 

Злоумышленники применяют различные методы сокрытия вредоносной составляющей, чтобы сайт было сложнее заблокировать. Хакеры создали сеть из вредоносных ресурсов в декабре 2023 года. Сайты представляют собой однотипные страницы с сотнями тысяч изображений и описаний. Как утверждают эксперты ГК «Солар», изображения объединены по тематикам, например, были найдены сайты с картинками по аниме, фанфикам, интернет‑мемам, порнографическим изображениям, корейским сериалам и еде. Также злоумышленники уделяют значительное внимание вопросам поисковой оптимизации.

Механизм работы такого сайта выглядит следующим образом: пользователь нажимает на ссылку или изображение, чтобы увидеть его первоисточник, а вместо сайта с картинкой идёт переадресация на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Такие фишинговые сайты часто использует название Telegram‑сообщества «Тебе понравится».

При попытке присоединиться к сообществу жертва попадает на страницу с QR‑кодом или формой логина и пароля для входа в Telegram. После ввода на фейковом ресурсе данных для входа в Telegram‑аккаунт информация автоматически отправляется к злоумышленникам. Защититься от таких краж не помогает даже двухфакторная аутентификация: если ввести полученный код подтверждения на фишинговом сайте,