Согласно статистике детектирований антивируса Dr.Web, в I квартале 2025 года общее число обнаруженных угроз увеличилось на 7,23% по сравнению с IV кварталом 2024. В то же время число уникальных угроз сократилось почти на треть — на 27,59%. Это говорит о том, что злоумышленники, несколько увеличив интенсивность атак, чаще задействовали в них одни и те же вредоносные и нежелательные программы. Наибольшее распространение получили вредоносные скрипты различной функциональности, а также рекламные трояны и рекламное ПО.
В почтовом трафике чаще всего обнаруживались трояны-дропперы и загрузчики, рекламное ПО,
вредоносные скрипты, а также трояны, предназначенные для запуска различных угроз на атакуемых компьютерах.
Пользователи, чьи файлы были затронуты троянами-шифровальщиками, чаще всего сталкивались с энкодерами
Trojan.Encoder.35534, Trojan.Encoder.35209 и Trojan.Encoder.35067.
В январе вирусная лаборатория «Доктор Веб» выявила
активную кампанию по добыче криптовалюты Monero, организованную с использованием множества различных вредоносных программ.
Для маскировки некоторых из них злоумышленники применили стеганографию — прием, позволяющий скрывать одни данные среди других (например, в изображениях).
Вместе с тем в течение I квартала наши интернет-аналитики фиксировали увеличение числа мошеннических сайтов, направленных на кражу учетных записей пользователей мессенджера Telegram.
В сегменте мобильных угроз наблюдался рост активности рекламных троянов и некоторых семейств банковских троянов для ОС Android.
При этом специалисты компании «Доктор Веб» выявили десятки новых вредоносных приложений в каталоге Google Play.
Главные тенденции I квартала
- Рост числа угроз, выявленных на защищаемых устройствах
- Снижение числа уникальных угроз, задействованных в атаках
- Увеличение числа фишинговых сайтов, созданных для кражи учетных записей Telegram
- Рост активности ряда распространенных семейств рекламных и банковских троянов для ОС Android
- Появление новых вредоносных программ в Google Play
Сетевое мошенничество
В I квартале 2025 года интернет-аналитики компании «Доктор Веб» отметили появление множества новых фишинговых
сайтов для кражи учетных записей мессенджера Telegram. Среди часто встречавшихся вариантов были поддельные
страницы авторизации и страницы поддержки, сообщающие о якобы возникших проблемах в связи с неким нарушением условий использования сервиса.
Распространение вновь получили поддельные сайты интернет-магазинов, на которых злоумышленники предлагали потенциальным жертвам войти в их учетную запись.
Фишинговая форма авторизации на поддельном сайте одного из российских интернет-магазинов
Наши специалисты продолжили фиксировались мошеннические сайты со всевозможными «выгодными предложениями»,
такими как доступ к легкому или быстрому заработку, получение тех или иных подарков, участие в акциях и т. п.
Например, одна из схем была рассчитана на жителей Великобритании. Им предлагалось получить транспортные карты
«ограниченного выпуска», которые якобы приурочены к юбилею того или иного перевозчика и позволят длительное время
бесплатно пользоваться услугами общественного транспорта.
Мошеннические сайты, предлагающие шанс получить «акционные» транспортные карты First Essex и Oyster для бесплатного пользования общественным транспортом
Пользователи должны были ответить на несколько вопросов, а затем сыграть в игру, открывая виртуальные коробки с
подарками («выигрыш» в подобных сценариях прописан заранее). После «победы» от них требовалось указать персональные
данные и заплатить £2 для «получения» обещанной карты. Личная информация жертв и деньги в итоге оказывались у злоумышленников.
Потенциальная жертва якобы успешно обнаружила карту в одной из игровых коробок и для ее получения должна указать персональные данные, а также заплатить £2
Форма ввода реквизитов банковской карты для оплаты несуществующей акционной транспортной карты
Злоумышленники продолжают завлекать потенциальных жертв всевозможными торговыми платформами с «уникальными» алгоритмами,
в том числе якобы на основе технологий искусственного интеллекта. При этом мошенники используют имена известных личностей
и прикрываются настоящими компаниями и сервисами, утверждая о том, что связаны с ними. Одним из актуальных сценариев
остается обещание заработать при помощи неких специализированных сервисов от Telegram, WhatsApp и других компаний.
Так, некоторые сайты рекламировали всевозможные ИИ-платформы, такие как Telegram AI и WHATSAPP AI — они якобы могли принести
от €14 000 в месяц за счет применения «автоматизированной торговой системы»:
Другие варианты эксплуатировали тематику торговых ботов, которые часто преподносятся как инструменты, созданные непосредственно владельцами мессенджеров.
Например, один из сайтов обещал, что «бот Павла Дурова» Telegram.AI позволит ежемесячно зарабатывать от €2500, а другой для получения до €500 в день
предлагал воспользоваться ботом WhatsApp Bot, якобы созданным Марком Цукербергом.
Еще один мошеннический сайт предлагал зарегистрироваться на «платформе Telegram», которая, как утверждалось, запускается непосредственно из браузера смартфона,
автоматически торгует акциями мировых компаний и приносит €10 000 в месяц:
Другой обещал «каждому жителю Европы» доход от €5000 в месяц с помощью неких алгоритмов компании WhatsApp на базе искусственного интеллекта:
Распространенной вариацией мошеннической схемы с фиктивной торговой системой на основе ИИ является скам-платформа «Формула богатства»,
якобы совершающая торговые операции за доли секунды с учетом анализа огромного объема данных. Всевозможные сайты этой несуществующей
системы предлагают посетителям ознакомиться с информационным роликом и зарегистрироваться для консультации в «офисе противокризисных
решений». Мошенников интересуют преимущественно европейские — в частности, чешские — пользователи, которым обещают доходность €1000 в
день «в течение всей жизни». Для доступа к системе от потенциальных жертв требуется внести минимальный депозит €250.
Популярными остаются и другие похожие сценарии — например, получение дохода с помощью того или иного специализированного ПО. Так,
один из сайтов приглашал чешских пользователей зарабатывать десятки тысяч крон в день благодаря «самому интеллектуальному криптографическому
программному обеспечению в мире»:
Другой мошеннический портал сулил заработок более 4,7 миллионов крон ежемесячно при использовании некоего торгового ПО «10K EVERY DAY APP»:
Вместе с тем пользователи продолжили сталкиваться и с фиктивными сайтами инвестиционной тематики,
целью которых становятся жители различных стран. Например, для аудитории из Казахстана мошенники
приготовили очередную платформу для пассивного заработка через торговлю нефтью и газом:
Множество других сайтов предлагали «заработать как можно больше» на торговле акциями Казахстана, России, Китая и прочих государств:
С похожими сайтами сталкивались жители России и Киргизии — они якобы могли заработать на торговле нефтью и газом:
А один из мошеннических интернет-ресурсов предлагал румынским пользователям присоединиться к проекту газопровода BRUA и сулил 3000 леев в неделю в качестве пассивного заработка:
Приманкой для потенциальных жертв остаются сайты, обещающие государственную поддержку населению в виде пособий,
социальных выплат и т. п. Так, злоумышленники пытались заманить российских пользователей на очередные подделки портала Госуслуг.
На одном из таких сайтов предлагалось указать персональные данные якобы для участия в программе выплат от нефтегазовой компании, а также получения бонусов от правительства:
Другой мошеннический сайт обещал помощь каждому жителю Казахстана в виде денежных выплат якобы от имени крупного банка «для избежания проблем и бедствия»:
Не теряют актуальность и поддельные сайты инвестиционных сервисов — в частности, российских кредитных организаций.
Многие из них мимикрируют под настоящие веб-порталы банков, чтобы максимально запутать потенциальных жертв.
Примеры поддельных сайтов российских банков, предлагающих получить доступ к «инвестиционным услугам»
Узнайте больше о нерекомендуемых Dr.Web сайтах
