Исследователи FortiGuard Labs предупредили, что хакеры активно используют поддельные сайты, которые внешне ничем не отличаются от официальных. Через такие ресурсы распространяются версии популярных приложений (Chrome, Telegram, Signal, WhatsApp, Deepl, VPN-сервисы, WPS Office и другие) в которые встроено вредоносное ПО.
Сразу после установки такие программы начинают сбор личных данных, получают права администратора, перехватывают сообщения, фиксируют нажатия клавиш, отслеживают активность на экране и даже отключают антивирус. Некоторые версии специально заточены под перехват переписки в Telegram.
Маскировка настолько убедительна, что пользователь часто даже не догадывается о заражении — установленные приложения работают исправно, пока в фоновом режиме идёт шпионская активность.
Одним из главных инструментов, применяемых в этой схеме, стало так называемое SEO-отравление. Эта техника позволяет хакерам продвигать свои сайты в верхние позиции поисковиков.
Они регистрируют домены, похожие на официальные, добавляют SEO-маркеры, используют плагины и инструменты манипуляции поисковой выдачей. В результате даже осторожный пользователь может оказаться на вредоносной странице, полагая, что переходит по «надёжной» ссылке.
Специалисты FortiGuard Labs сообщили, что изначально кампания ориентировалась на китайскоязычных пользователей, но вскоре распространилась глобально. В более ранних исследованиях Cisco Talos упоминались аналогичные схемы, в которых подделывались страницы загрузки популярных ИИ-продуктов, таких как ChatGPT и InVideo.
Отдельные группы создавали фальшивые сайты PayPal, Microsoft, Netflix и Apple, а иногда даже покупали рекламные позиции, чтобы их вредоносные ресурсы попадали в верхнюю часть страницы результатов.