Эксперты по информационной безопасности зафиксировали масштабную волну кибератак на российских соискателей. Злоумышленники рассылают фиктивные предложения о работе и просят кандидатов установить программу для онлайн-собеседования, маскируя вирус под популярный корпоративный сервис Webex. Вредоносный код под названием JobStealer незаметно интегрируется в операционную систему и извлекает ключи авторизации от мессенджера Telegram, данные банковских карт и доступы к криптовалютным кошелькам.
Атака начинается с классической социальной инженерии. Жертва получает сообщение в мессенджерах или по электронной почте с описанием привлекательной вакансии в крупной технологической компании. После предварительного диалога лже-рекрутер предлагает пройти техническое интервью по видеосвязи. Для подключения соискателю отправляют ссылку на скачивание специализированного программного обеспечения, которое якобы необходимо для защиты корпоративных данных во время звонка. Страница загрузки визуально полностью копирует оригинальный интерфейс платформы коммуникаций Webex, права на которую принадлежат американской корпорации Cisco.
Как JobStealer обходит защиту и извлекает данные
При установке фальшивого клиента жертва инфицирует свой компьютер трояном JobStealer. Этот зловред специализируется на скрытом сборе конфиденциальной информации из локальных директорий операционных систем семейства Windows. Программа работает в фоновом режиме и способна обходить базовые сигнатуры встроенного защитника Windows Defender. Основной удар киберпреступников приходится на расширения популярных веб-браузеров, таких как Google Chrome, Яндекс Браузер и Mozilla Firefox.
Вирус сканирует файловые директории браузеров в поисках плагинов, интегрированных с децентрализованными финансовыми сервисами и биржами. Программа автоматически извлекает seed-фразы и закрытые ключи, мгновенно пересылая собранный массив данных на удаленные серверы злоумышленников. В результате жертва теряет доступ к своим цифровым активам в блокчейн-сетях. Дополнительно вирус проверяет системные папки мессенджера Telegram на жестком диске. JobStealer копирует файлы сессий, что позволяет хакерам клонировать аккаунт пользователя на своих устройствах без необходимости перехвата SMS-кодов или взлома облачного пароля.
Генеральный директор антивирусной компании Doctor Web Борис Шаров подтвердил критический уровень новой угрозы. Специалист отмечает, что троян способен агрегировать сохраненные пароли из сотен различных системных модулей. «Схемы применяются не только против людей, которые ищут работу, но и против компаний, которые подбирают новых сотрудников» (цитата по сообщениям РИА Новости).
Хакеры атакуют кадровые агентства под видом соискателей
Угроза носит двусторонний характер и напрямую затрагивает специалистов по подбору персонала. Киберпреступники регулярно атакуют HR-отделы профильных компаний, отправляя вредоносные файлы под видом резюме, тестовых заданий или портфолио. Обычно такие документы упакованы в архивы форматов ZIP или RAR, что усложняет автоматическую проверку вложения почтовыми антивирусными шлюзами. При распаковке архива рекрутер запускает исполняемый скрипт, который открывает хакерам доступ к внутренним базам данных предприятия.
Тренд на заражение инфраструктуры через рекрутинговые процессы набирает обороты с начала текущего года. Ранее исследователи из компании Kaspersky фиксировали сложные целевые атаки северокорейской группировки Lazarus. Хакеры использовали фейковые вакансии в профессиональной сети LinkedIn для внедрения скрытых бэкдоров на компьютеры инженеров и разработчиков.
Перенос вектора атаки с корпоративного сегмента на массового пользователя свидетельствует о существенном снижении порога входа на рынок киберпреступности. Современные вирусы класса Stealer свободно продаются на теневых форумах в даркнете по модели подписки, что позволяет мошенникам без глубоких навыков программирования арендовать готовую инфраструктуру и запускать массовые спам-рассылки.
Кандидатам советуют проверять ссылки на платформы для связи
Рост числа подобных инцидентов связан с высокой конкуренцией на рынке труда в IT-секторе. Соискатели стремятся быстрее откликаться на предложения, пренебрегая базовыми правилами проверки работодателя. Мошенники активно эксплуатируют этот фактор, создавая иллюзию срочности: кандидату дают всего несколько часов на установку софта перед звонком, не оставляя времени на анализ подозрительных ссылок.
Аналитики по кибербезопасности настаивают на соблюдении жестких правил цифровой гигиены. В первую очередь эксперты рекомендуют детально проверять доменные имена веб-ресурсов, с которых скачиваются дистрибутивы для видеосвязи. Официальные клиенты Zoom, Microsoft Teams, Google Meet или Webex следует загружать исключительно с подтвержденных сайтов компаний-разработчиков.
Для безопасной работы с криптовалютными транзакциями специалисты советуют использовать аппаратные решения уровня Ledger или Trezor. Для защиты профилей в Telegram базовым требованием остается установка надежного облачного пароля и регулярный мониторинг списка активных сессий в настройках приватности приложения.
Подписывайтесь на телеграм канал Digital Report, чтобы первыми узнавать о главных событиях цифровой индустрии.
- Мошенники грабят россиян через объявления о найме на работу - 15/06/2026 14:56
- Россияне массово скупают MacBook Neo и iPhone - 15/06/2026 14:26
- На выборах россиянам отключат интернет ради «спасенных жизней» - 15/06/2026 13:53
