В современном цифровом мире криптовалюты становятся всё более популярными, привлекая миллионы пользователей по всему миру. Однако с ростом интереса к этому сектору усиливается и активность киберпреступников, которые постоянно совершенствуют методы для кражи цифровых активов. Одной из последних тенденций стала масштабная кампания, в рамках которой злоумышленники создают фальшивые компании, якобы работающие в сферах игровых технологий, искусственного интеллекта и Web3, чтобы заманивать жертв и распространять вредоносное программное обеспечение через популярные коммуникационные платформы Telegram и Discord. Эти действия являются примером хитроумной социальной инженерии и демонстрируют, насколько изощрёнными сейчас становятся методы компьютерного мошенничества. Злоумышленники создают тщательно продуманный и профессионально выглядящий облик своих фиктивных стартапов.
Они используют поддельные аккаунты в социальных сетях, преимущественно в сервисе X (бывший Twitter), а также размещают проектную документацию на платформах, которые широко используются настоящими IT-компаниями, например на GitHub и Notion. Такой подход позволяет им создавать иллюзию доверия и легитимности, что значительно повышает вероятность того, что потенциальные жертвы вступят с ними в контакт и загрузят предлагаемые программы без подозрений. Одним из ключевых элементов мошеннической кампании является активное использование взломанных аккаунтов реальных сотрудников и компаний. Через эти компрометированные профили злоумышленники целенаправленно обращаются к пользователям, предлагая протестировать их «новое программное обеспечение», обещая щедрые выплаты в криптовалюте. Из-за наличия в переписке ссылок на якобы рабочие проекты и подробной документации с продуманной терминологией многие криптоэнтузиасты становятся жертвами обмана.
При согласии на участие и загрузку предоставленных приложений пользователи одновременно открывают доступ к своим системам вредоносному ПО. На различных операционных системах применяется разный набор технических приёмов. Для Windows это обычно электронные приложения, замаскированные под видеоконференц-софты или подобные инструменты, где при запуске пользователь видит легитимный экран проверки (например, Cloudflare). За этим скрывается загрузка MSI-установщика – вредоносной программы, предназначенной для кражи данных. Для macOS атакующие создают специальные образы DMG, внутри которых размещён известный в среде информационных угроз стеллер Atomic macOS Stealer (AMOS).
Этот шпионский инструмент способен похищать пароли, данные браузеров, криптокошельки и другую конфиденциальную информацию. Чтобы вредоносное ПО оставалось активным и устойчиво к перезапускам системы, на macOS внедряется специальный скрипт, который добавляет программу в автозагрузку через Launch Agent. Помимо этого, устанавливается дополнительный бинарник на Objective-C или Swift, который собирает данные об активности пользователя, времени запуска приложений и др., после чего пересылает эту информацию на удалённые сервера злоумышленников. Такой мониторинг позволяет злоумышленникам не только следить за деньгам и криптокошельками жертв, но и проводить целенаправленные атаки на их систему.
Кража криптовалюты через подобные социальные инженерные методы составляет серьёзную угрозу для рынка цифровых активов. Для многих пользователей их криптовалюта – это не просто деньги, а важная часть финансовой безопасности или даже основной источник дохода. Потеря доступа к кошельку или утечка личной информации может привести к тяжёлым финансовым потерям и утрате доверия к технологиям. Аналитики безопасности отмечают сходство подобной кампании с активностями группы злоумышленников под названием Crazy Evil, известной широким арсеналом вредоносного ПО, включая такие инструменты как StealC, AMOS и Angel Drainer. Несмотря на то, что прямое связывание новых атак с Crazy Evil пока остаётся под вопросом, приёмы, используемые мошенниками, указывают на высокую профессиональность и серьезный уровень подготовки.
Использование множества платформ, массовое создание фальшивых стартапов, распространение вредоносных файлов через проверенные каналы – всё это говорит о том, что преступники всё активнее применяют инновационные методы обмана. Отдельного внимания заслуживает роль Telegram и Discord как каналов коммуникации между злоумышленниками и жертвами. Эти платформы очень популярны у крипто-сообществ благодаря возможности быстро обмениваться сообщениями, организовывать группы и каналы с информацией, а также использовать ботов. Однако именно эти особенности делают их удобной площадкой для проведения мошеннических кампаний. Механизмы модерации и контроля на этих платформах часто отстают от темпов появления новых угроз и новых схем атак.
Для конечных пользователей важнейшими мерами защиты становятся повышенная осторожность и внимательность к деталям. Никогда не стоит скачивать программы и приложения по ссылкам от неизвестных или подозрительных аккаунтов. Следует проверять аутентичность компании, изучать отзывы и дополнительную информацию. На пользу приходят также использование многофакторной аутентификации, актуальных антивирусных решений и систем обнаружения вторжений. Для криптопользователей рекомендуется хранить основные активы в «холодных» кошельках, то есть оффлайн, куда вредоносное ПО не может получить доступ.
Общественная и корпоративная безопасность в криптопространстве требует постоянного совершенствования инструментов защиты и обмена информацией. Компании в области кибербезопасности рекомендуют организациям укреплять мониторинг взломанных аккаунтов в социальных сетях, отслеживать подозрительное поведение и внедрять у сотрудников обязательные обучения по распознаванию фишинга и социальной инженерии. В конечном счёте, борьба с распространением вредоносного ПО среди криптопользователей – это совместная задача всех участников рынка и пользователей. Только благодаря внимательному отношению к информации, своевременному обновлению защитных систем и осознанному использованию коммуникационных каналов возможно минимизировать риски потери средств и сохранить доверие к цифровым активам. Поскольку киберугрозы постоянно эволюционируют, следует ожидать появления новых форм атак, направленных на пользователей криптовалюты и технологические стартапы.
Непрерывное информирование, образование и повышение технической грамотности станут лучшей защитой от мошеннических схем и вредоносных программ. Криптовалютное сообщество и профессионалы сферы безопасности должны объединять усилия для создания надёжной и безопасной цифровой среды, где инновации и технологии служат во благо, а не во вред пользователям.
