В мире криптовалют безопасность пользовательских кошельков становится критически важным аспектом, поскольку всё чаще появляются злоумышленники, применяющие более изощренные способы кражи средств. Одним из свежих примеров таких атак является распространение вредоносного ПО, маскирующегося под официальные обновления кошелька Phantom для блокчейна Solana. Фейковые обновления заставляют пользователей ввести вредоносное программное обеспечение, которое крадёт пароли и криптовалютные активы. Эта кампания стала предметом пристального внимания экспертов в области кибербезопасности осенью 2022 года и представляет серьёзную угрозу для всех пользователей Solana и кошелька Phantom. Phantom — один из наиболее популярных кошельков для хранения и управления криптовалютой Solana, обладающий простым интерфейсом и расширенной функциональностью.
Именно из-за популярности Phantom и был выбран в качестве мишени для атаки. Злоумышленники начали массово рассылают NFT (невзаимозаменяемые токены) с наименованиями вроде "PHANTOMUPDATE.COM" или "UPDATEPHANTOM.COM", создавая иллюзию официального уведомления от разработчиков Phantom о необходимом обновлении безопасности. Эти NFT маскируются под сообщения об обязательном обновлении кошелька с предупреждениями о якобы растущих угрозах в сети Solana.
При открытии этих NFT пользователи получают убедительное приглашение срочно перейти по ссылке и загрузить обновление с поддельного сайта. Суть социальной инженерии заключается в создании чувства неотложности, что снижает бдительность и заставляет владельцев переводить свои действия с осторожного изучения на быструю реакцию. Данная психологическая тактика играет на страхе потерять средства, что и приводит к установке вредоносного ПО. Переходя по таким ссылкам, пользователи оказываются на сайтах, где в автоматическом режиме инициируется загрузка исполняемого файла, маскированного под «Phantom_Update». В предыдущих инцидентах был обнаружен бинарник с расширением .
exe, а в более свежих вариантах — скрипт в формате .bat для Windows. Запуск этих файлов сопровождается запросом прав администратора через стандартное системное предупреждение UAC. Принятие запроса разрешает запуск сложного PowerShell скрипта, который далее расшифровывает и выполняет цепочку команд с загрузкой дополнительного вредоносного ПО. Главное вредоносное приложение, оказывающееся на компьютере жертвы, называется windll32.
exe. По данным антивирусных платформ, этот файл является паролекрадом — программой, способной похищать конфиденциальные данные, такие как история браузера, куки, сохранённые пароли, SSH ключи, а также информацию из криптовалютных расширений и кошельков. Фактически, установка вируса даёт хакерам ключ к многим аккаунтам и, что особенно опасно, к средствам на криптовалютных биржах и в децентрализованных кошельках. С одной стороны, точное имя вредоноса меняется в зависимости от кампании. В прошлые волны атаки распространялся файл lib64.
exe, известный как MarsStealer — информация-ворующий троян, впервые выявленный в 2020 году. MarsStealer специализируется на сборе данных из популярных браузеров, двухфакторных плагинов безопасности и множества криптовалютных расширений. Несмотря на возможность обновления версий вредоносного ПО, конечная цель остаётся неизменной: кража цифровых активов. Для жертв такой атаки последствия могут быть катастрофическими — несанкционированное удалённое управление кошельком приводит к безвозвратному списанию криптовалюты. Кроме того, кража паролей угрожает дальнейшими компрометациями других аккаунтов, связанных с электронной почтой, банковскими системами и торговыми платформами.
В современных условиях утечка личных данных значительно усложняет процесс восстановления доступа и безопасности. Для защиты от подобных мошеннических схем важно соблюдать комплекс основных мер безопасности. Во-первых, никогда не переходить по сомнительным ссылкам, даже если они поступили в форме NFT или официального сообщения. Настоящие обновления кошелька Phantom всегда публикуются на официальных сайтах проекта и проверенных каналах коммуникации. Важно самостоятельно заходить на платформы обновлений, а не доверять ссылкам в неожиданных сообщениях.
Во-вторых, после симптомов возможного заражения вирусом рекомендуется немедленно провести проверку компьютера с помощью надёжного антивирусного программного обеспечения. Это может помочь выявить и удалить вредоносные файлы. Однако следует понимать, что при воздействии трояна восстановление безопасности личного кошелька требует дополнительных шагов. Необходимо создать новый кошелёк Phantom, перенести на него все криптовалютные балансы и активы, а старый кошелёк считается скомпрометированным. Также крайне важно сменить пароли на всех используемых сервисах.
Оптимальной практикой является использование уникальных и сложных паролей для каждой платформы, а также включение многофакторной аутентификации, где это возможно. Такое сочетание мер значительно снижает риск повторного взлома и минимизирует последствия утечки информации. На фоне вышеописанной угрозы стоит отметить общую тенденцию увеличения случаев краж паролей и криптовалюты. Аналитические отчёты индустрии безопасности фиксируют удвоение попыток взлома за последние годы, а мошенничество с NFT и криптовалютными расширениями стало одним из наиболее масштабных источников угроз для цифровых активов. Для пользователей Solana и владельцев Phantom кошельков важна не только информированность о существующих рисках, но и регулярное обновление знаний о возможных способах атак.
