С декабря 2025 - январь 2026 года в России и других странах активизировались кибератаки, в которых злоумышленники из группировки Vortex Werewolf использовали Telegram в качестве «маскировки» для кражи данных и контроля устройств.

Злоумышленники отправляют своим потенциальным жертвам ссылку, которая выглядит как доступ к «важным рабочим документам» через файловое хранилище Telegram.

Переход по такой ссылке запускает поддельный процесс «восстановления доступа» к аккаунту мессенджера. Жертву просят ввести код подтверждения, который приходит на другое устройство, а иногда и облачный пароль двухфакторной аутентификации, чтобы якобы открыть документ. На деле это позволяет хакерам получить доступ к активной сессии Telegram, перепискам, контактам и другим личным данным.

После ввода кодов на компьютер загружается вредоносный ZIP‑архив, внутри которого скрыт скрипт, запускающий установку вредоносного ПО. Оно дает злоумышленникам удаленный доступ к устройству и возможность управлять им через защищённые каналы связи - например, через Tor.

Переход по поддельной ссылке может привести к серьёзным последствиям:

• захват Telegram‑аккаунта и доступ к перепискам, контактам и сохранённым данным;
• установка вредоносного ПО на Windows‑устройство, которое позволяет хакерам управлять системой;
• дальнейшее распространение фишинга через украденные контакты - уже от имени реального пользователя;
• потенциальное получение доступа к внутренним рабочим ресурсам при атаке на организации;

Мошенники ориентируются не только на частных пользователей, но и на сотрудников оборонно‑промышленных предприятий, госорганов и других структур, где доступ к рабочим документам может показаться важным и срочным. Подобные фишинговые атаки особенно опасны для тех, кто часто получает рабочие файлы через мессенджер и не всегда тщательно проверяет ссылки и источники.

Чтобы не стать жертвой подобных атак, эксперты по кибербезопасности рекомендуют:

• не переходить по подозрительным ссылкам, даже если они выглядят как ссылки на Telegram или другие популярные сервисы;
• критически относиться к сообщениям, содержащим слова вроде «срочно скачать документ» или «необходимо восстановить доступ»;
• проверять отправителя сообщения и адрес ссылки, прежде чем вводить коды подтверждения;
• использовать только официальные ссылки и методы восстановления доступа, предоставляемые сервисом мессенджера.

Хакеры продолжают использовать доверие к популярным мессенджерам, создавая поддельные ссылки и процессы, которые выглядят как официальные сервисы Telegram.