Перейти к основному контенту
LiMP VPN
Все новости

Сайты-двойники с софтом заражают ПК трояном, 2026

Сайты-двойники с софтом заражают ПК трояном, 2026

Коротко: В начале июля 2026 года «Лаборатория Касперского» раскрыла крупную кампанию: более 90 фейковых сайтов маскируются под популярный бесплатный софт — OBS Studio, Bandicam, DNS Jumper, DS4Windows и другие. За счёт SEO-отравления они выходят в топ поиска и раздают установщики, которые незаметно ставят троян AsyncRAT и скрытый инструмент удалённого доступа — так злоумышленники крадут пароли и получают контроль над ПК. Скачивайте программы только с официального сайта разработчика.

Что произошло

Исследователи Касперского описали скоординированную операцию из более чем 90 поддельных страниц-«загрузок», зарегистрированных примерно на 10 языках. Каждый сайт копирует вид известной бесплатной программы и предлагает готовый установщик. Кампания шла ориентировочно с октября 2025 года по конец марта 2026-го, пик регистрации доменов пришёлся на февраль 2026 года — но, как отмечают в Касперском, многие мошеннические страницы живы до сих пор, поэтому угроза не ушла.

Приманка — обычный софт, который люди ищут каждый день: стример OBS Studio, рекордер экрана Bandicam, утилиты DNS Jumper и DS4Windows, Glary Utilities и подобные. Поскольку фейковые страницы затачивались под поисковики, они нередко оказывались рядом с настоящим проектом — или выше него. Самая безопасная привычка — вводить адрес разработчика вручную; проверки разобраны в нашем гайде, как безопасно скачивать программы (и VPN).

Как проникает троян

Скачанный архив выглядит убедительно, потому что действительно устанавливает настоящую программу — и ничего подозрительного не заметно. Рядом с ней спрятаны легитимный, подписанный Microsoft исполняемый файл и вредоносная DLL. С помощью приёма DLL sideloading подписанный файл подгружает библиотеку злоумышленника как доверенный компонент и проскакивает мимо базовых проверок.

Эта библиотека тихо разворачивает ScreenConnect — настоящий инструмент удалённого управления, — который запускает PowerShell-скрипты, отключает Windows Defender и в итоге внедряет троян AsyncRAT в системный процесс. AsyncRAT — это троян удалённого доступа: он даёт злоумышленнику «живой» канал к машине, чтобы фиксировать нажатия клавиш, вытягивать сохранённые пароли и сессии браузера и возвращаться, когда захочется. Это тот же механизм кражи учётных данных, что стоит за громкими утечками паролей, о которых мы писали ранее.

Чем это опасно для ваших данных

Поскольку рабочая программа действительно ставится, у жертвы нет очевидного момента «я запустил что-то не то». Тем временем троян может забрать пароли из браузера, перехватить набранное и передать постороннему постоянный удалённый контроль — и на домашних ПК, и, что опаснее, на рабочих ноутбуках, подключённых к корпоративным системам. Украденные логины затем используют для новых взломов или продают. Именно поэтому одна неосторожная загрузка способна тихо обернуться утечкой ваших личных данных спустя недели.

Позиция в поиске — не знак безопасности. Высокое место в выдаче не означает, что сайт настоящий: злоумышленники специально этим манипулируют. Привычка доверять первому результату — ровно тот рефлекс, на котором играет эта кампания.

Как защититься

Идите к официальному источнику. Вводите домен разработчика вручную или используйте сохранённую закладку вместо клика по верхней ссылке из поиска. На смартфоне ставьте приложения только из официальных магазинов.

Проверяйте, что запустили. Настораживайтесь, если установщик тянет за собой лишние утилиты, просит отключить антивирус или запускает службу удалённого управления. Держите Windows и защитное ПО обновлёнными и включёнными — как связаны уровни защиты, разобрано в обзоре, как работают вместе VPN, антивирус и фаервол.

Сузьте радиус ущерба. Используйте длинные уникальные пароли и менеджер паролей, чтобы один украденный вход не открывал всё сразу, и включите двухфакторную аутентификацию. Основы — в нашем разборе, как защитить аккаунт от взлома.

Шифруйте соединение в недоверенных сетях. VPN не уберёт уже попавший на устройство троян, но в публичном или общем Wi-Fi он мешает злоумышленникам в той же сети перехватить трафик или увести вас на фейковую страницу. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о приватности — в нашем блоге.

Источники

Материал основан на расследовании «Лаборатории Касперского» / Securelist (июль 2026), о котором по-английски написал The Hacker News, а по-русски — SecurityLab; предупреждение вендора — на сайте Kaspersky.

Сайты-двойники с софтом заражают ПК трояном, 2026 | LiMP VPN