Злоумышленники распространяют стилеры через клоны прокси в поиске
Эксперты группы компаний «Солар» зафиксировали появление вредоносных клонов прокси-сервисов в поисковой выдаче. Злоумышленники используют интерес пользователей к обходу ограничений Telegram, которые действуют в России с февраля 2026 года.
Как отметили специалисты кибербеза, пользователи часто ищут прокси-сервисы через браузер. В условиях ограничений оригинальные и действующие репозитории не попадают в поисковую выдачу. В верхней части результатов появляются новые ссылки на вредоносные программы. Эксперты за последнее время зафиксировали несколько похожих случаев запуска вредоносных утилит. Пользователи скачивали их с GitHub под видом настоящего ПО.
Риск несут и поддельные репозитории на зеркалах GitHub. Злоумышленники копируют раздел README.md настоящих проектов. Они сохраняют исходную вёрстку и реквизиты для пожертвований автору программы. Пользователь видит знакомое оформление и может считать код безопасным. Однако вместо настоящего файла он может скачать подменённый бинарный файл с Salat Stealer, Santa Stealer или другим вредоносом.
Santa Stealer может извлекать сессии браузеров и файлы с заданными расширениями. Эксперты кибербеза рекомендуют не скачивать программы со сторонних площадок, даже если ссылка похожа на оригинальную. GitHub предоставляет услуги хостинга, но не успевает проверять постоянный поток новых файлов. Злоумышленники используют это в своих целях. Насторожить пользователей должны недавно созданный аккаунт, отсутствие звёзд, форков, вкладки Issues и истории изменений. Ещё один признак риска — просьба отключить антивирус перед установкой.