Опасная новая тактика: фальшивые сообщения об ошибках для распространения вредоносного ПО
В темных уголках интернета появилась новая разработка, которая значительно облегчает киберпреступникам задачу распространения вредоносных программ. Вместо традиционных методов скрытых загрузок злоумышленники используют имитацию системных сообщений об ошибках, создавая иллюзию необходимости срочного исправления несуществующих проблем.
Почему эта схема так эффективна?
Обман основан на правдоподобности: страницы выглядят поврежденными, предупреждения вызывают тревогу, а инструкции кажутся простыми и понятными. Всё это вызывает у пользователя искреннее ощущение срочности, что увеличивает вероятность его действия. В результате, даже неподготовленный пользователь легко попадается на удочку злоумышленников.
Как работают эти атаки?
Злоумышленники начинают с заражения популярного сайта или его взлома. Как только посетитель заходит на страницу, он сразу же замечает, что что-то не так: текст выглядит искаженным, шрифты — спутанными, а визуальные элементы — поврежденными. Вскоре появляется всплывающее окно с сообщением о необходимости обновления браузера или установки отсутствующих системных шрифтов. В нем предлагается нажать кнопку для мгновенного исправления проблемы.
При нажатии кнопки в буфер обмена копируется команда, которую пользователь должен вставить в PowerShell или системный терминал для устранения найденной проблемы — на самом деле, это запуск вредоносной программы.
Инструмент, стоящий за атаками: ErrTraffic
Злоумышленники используют автоматизированный инструмент под названием ErrTraffic, который значительно упрощает проведение подобных кампаний. За примерно 800 долларов этот продукт включает панель управления и скрипты для автоматической доставки вредоносных нагрузок. Аналитики службы разведки и кибербезопасности обнаружили этот инструмент после отслеживания его продвижения на русскоязычных форумах в декабре 2025 года.
Как работает ErrTraffic?
- Инъекция минимального JavaScript-кода, который связывает взломанный сайт с панелью злоумышленников.
- Автоматическая адаптация сообщений под операционную систему и язык браузера пользователя.
- Работа на разных платформах: Windows, Android, macOS и Linux.
Почему такие атаки обходят защиту?
В отличие от классических методов, эти сценарии не требуют загрузки подозрительных файлов или их установки. Вся активность выглядит легитимной: копирование текста, запуск системных утилит вручную. Поэтому стандартные антивирусные системы зачастую не распознают угрозу.
Статистика и эффективность атак
Данные показали, что около 60% посетителей, столкнувшись с фальшивым сообщением, следуют инструкциям и устанавливают вредоносное ПО. Зараженные устройства могут стать источником кражи личных данных, финансовой информации и паролей.
После проникновения, зловредные программы, такие как инфостилеры Lumma или Vidar, собирают конфиденциальные сведения и пересылают их злоумышленникам. А контрольные панели позволяют фильтровать жертвы по географическому признаку, исключая российских пользователей, чтобы не привлекать внимания правоохранительных органов.
Как защититься от подобных атак
Бережное отношение к всплывающим окнам
Если на сайте появляется сообщение, требующее вставить команды в системный терминал или PowerShell, лучше сразу закрыть страницу. Помните, что настоящие обновления систем и браузеров приходят через встроенные инструменты — не через сторонние сайты.
Обратите внимание на визуальные признаки
- Неправильное отображение текста или искаженные шрифты;
- Сообщения о недостающих файлах или необходимости обновления;
- Страницы с подозрительно выглядящими предупреждениями.
Такие признаки — сигнал к тому, что пора закрыть вкладку и проверить устройство с помощью антивируса.
Используйте надежное антивирусное ПО
Современные антивирусные программы помогают блокировать вредоносные скрипты, обнаруживать утечки данных и предотвращать подозрительную активность. Особенно важно иметь актуальные защиты на всех устройствах: ПК, смартфонах, планшетах и ноутбуках.
Минимизируйте риски через управление личной информацией
Удаление личных данных с сайтов брокеров данных снижает вероятность их использования в атаках. Регулярные проверки и удаление информации помогают ограничить возможности злоумышленников.
Хотите узнать, есть ли ваши личные данные в сети? Проверьте это с помощью специальных сервисов и удалите ненужную информацию, чтобы повысить безопасность.
Почему важно сохранять спокойствие
Создатели таких сценариев используют психологический эффект: изображение поврежденного экрана вызывает желание быстро исправить проблему. Поэтому важно помнить: в большинстве случаев, если что-то кажется подозрительным, лучше просто закрыть страницу и довериться встроенным системным инструментам обновления.
Если вы когда-либо сталкивались с подобными сообщениями и не были уверены в их легитимности, расскажите об этом специалистам или в службу поддержки. Ваша внимательность поможет предотвратить возможные потери и обезопасить вас и ваших близких.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.