В современном мире криптовалюта продолжает стремительно завоевывать популярность, становясь не только средством инвестирования, но и часто объектом внимания киберпреступников. Одним из самых громких инцидентов последних месяцев стала масштабная атака с использованием криптодрайнера MS Drainer, которая за девять месяцев успела обмануть более 63 000 человек, похитив у них свыше 59 миллионов долларов. Вредоносное программное обеспечение распространяется с помощью рекламных объявлений в таких крупных платформах, как Google и Twitter (ныне известный как X), что придаёт обману дополнительную легитимность и доверие со стороны пользователей. Криптодрайнер — что это и как работает MS Drainer Само понятие «криптодрайнер» относится к особому виду вредоносного программного обеспечения, которое нацелено на вытягивание криптовалютных средств из кошельков пользователей без их согласия. В случае MS Drainer речь идёт о комплексной фишинговой кампании, построенной вокруг злонамеренных смарт-контрактов.
Пользователей заманивают на тщательно замаскированные под официальные сайты мошеннические ресурсы, где их убеждают авторизовать транзакции. В итоге эти транзакции проводятся без ведома владельцев, а криптовалюта мгновенно переходит в руки злоумышленников. По данным блокчейн-аналитиков из ScamSniffer, с марта 2023 года было обнаружено более десяти тысяч подобных сайтов, причем активность увеличивалась в мае, июне и ноябре. Это свидетельствует о систематическом и хорошо организованном характере атаки. Продажа программы для кражи и финансовая модель Немало примечательно, что исходный код MS Drainer распространяется на криминальном рынке киберпреступников.
Его продаёт пользователь под псевдонимами «Pakulichev» или «PhishLab». Стоимость базовой версии троянского набора составляет 1500 долларов, при этом PhishLab взимает 20% с любого украденного с помощью программы дохода. Кроме того, доступны дополнительные модули за 500-1000 долларов, которые расширяют функциональность вредоносного ПО и делают кражи ещё более эффективными. Основываясь на анализе эфириум-транзакций, один из самых крупных пострадавших потерял криптовалюты на сумму в 24 миллиона долларов, а другие жертвы сообщили о потерях от нескольких сотен тысяч до более миллиона. Это масштабные суммы, которые в свою очередь показывают, насколько опасными и разрушительными могут быть подобные атаки.
Использование рекламы Google и X (Twitter) для распространения Одной из самых примечательных особенностей данной схемы является использование официальных рекламных платформ для продвижения вредоносных сайтов. В Google реклама MS Drainer демонстрируется по запросам, связанным с популярными DeFi-платформами, такими как Zapper, Lido, Stargate, Defillama и другими. Злоумышленники используют уязвимость в шаблонах отслеживания Google Ads, которая позволяет подделывать URL так, что он кажется принадлежащим официальному сайту подменяемого сервиса, но затем происходит переадресация на мошеннический ресурс. В социальной сети X (бывший Twitter) обнаружена ещё более масштабная активность вредоносной рекламы, которая занимает львиную долю всех фишинговых объявлений в ленте пользователей. Особенно тревожно то, что рекламные объявления размещаются с аккаунтов, имеющих подтвержденную синюю галочку — «верифицированных» пользователей.
Это говорит о том, что злоумышленники получили доступ к таким аккаунтам, скорее всего в результате заражения вредоносным ПО, которое похищает куки аутентификации или пароли. Что вызывает дополнительные подозрения — когда исследователи связываются с владельцами таких аккаунтов, эти люди нередко отрицают размещение рекламы и сообщают, что в рекламных кабинетах объявлений не видно. Это указывает на сложные методы обхода защиты и возможность скрытого управления рекламными кампаниями. Разнообразие мошеннических тем и методы обхода защиты Рекламные объявления распространяются по разным тематикам — от продажи ограниченных NFT-коллекций, таких как «Ordinals Bubbles», до лживых аирдропов и ложных запусков новых токенов. Такие темы широко распространены в криптосообществе и охотно привлекают внимание пользователей, которые стараются не пропустить выгодные возможности.
Для обхода систем безопасности и фильтров применяется технология геофенсинга — показы рекламы только пользователям из определенных регионов. Для остальных пользователей сайты перенаправляют на легитимные и безобидные страницы, что снижает риск обнаружения мошенничества мониторинговыми службами. Почему ситуация вызывает тревогу и как защититься Злоумышленники демонстрируют всё более изощренные методы, используя официальные рекламные сети и похищая аккаунты с большой аудиторией. Криптовалютные жертвы теряют огромные суммы, и ситуация с MS Drainer — это серьёзное предупреждение. Чтобы минимизировать риски, важно проявлять повышенную бдительность при кликах на рекламные объявления, особенно связанные с криптовалютой и DeFi.
Не стоит доверять всплывающим NFT-акциям или предложениям пройти на новые платформы без глубокого изучения. Необходимо всегда внимательно проверять URL и исходные сайты, избегать авторизации через неизвестные ресурсы и пользоваться аппаратными кошельками и двухфакторной аутентификацией для защиты криптокошельков. Также рекомендуется использовать надежные антивирусные решения и регулярно обновлять программное обеспечение. Приобретение знаний о новых угрозах и следование информационной безопасности помогают оставаться на шаг впереди злоумышленников. Резюмируя, атака MS Drainer показывает, как уязвимы криптопользователи перед тщательно подготовленными мошенническими кампаниями, которые используют доверие к крупным платформам, таким как Google и Twitter.
Только сочетание осторожности, технических средств защиты и своевременного информирования способно защитить от потерь в цифровом пространстве.
