Как основатель криптовалюты из Сингапура стал последней жертвой изощрённой кампании вредоносного ПО

Когда профессиональный внешний вид недостаточен для защиты

Криптосообщество снова предупреждают о опасностях кажущихся легитимными возможностей. Марк Ко, основатель RektSurvivor — организации, посвященной поддержке жертв мошенничества, — узнал об этом на собственном опыте, потеряв более $14,000 в криптовалюте из-за хитроумной схемы.

5 декабря Ко столкнулся с тем, что казалось эксклюзивной возможностью тестирования бета-версии онлайн-игры MetaToy, продвигаемой через Telegram. Учитывая его опыт оценки и инвестирования в Web3-проекты, Ко посчитал предложение надежным. Сайт проекта, Discord-сервер и отзывчивая команда создавали иллюзию легитимности, что убедило его продолжить. Критическая ошибка произошла, когда он скачал лаунчер игры MetaToy — он содержал скрытое вредоносное ПО.

Последствия: как меры безопасности всё равно не спасли

Дальнейшие события показывают, насколько сложными стали современные угрозы. Несмотря на то, что антивирус Norton отметил подозрительную активность и Ко предпринял немедленные меры — провел полное сканирование системы, удалил отмеченные файлы и записи в реестре, а также полностью переустановил Windows 11 — ущерб уже был нанесен. В течение 24 часов после этих попыток очистки все кошельки, подключенные к его расширениям Rabby и Phantom, были полностью опустошены.

Общий убыток: 100 000 юаней ($14,189), накопленных за восемь лет участия в криптовалюте.

«Я даже не входил в свой кошелек через приложение. У меня были отдельные сид-фразы. Ничего не сохранялось в цифровом виде», — объяснил Ко СМИ, подчеркивая, насколько инвазивной была атака.

Многовекторная атака

Анализ Ко в сочетании с экспертными данными по кибербезопасности показывает, что атака использовала несколько сложных техник, действующих совместно. Основным механизмом, судя по всему, было похищение токенов аутентификации из расширений браузера. Но злоумышленники также использовали уязвимость Google Chrome zero-day, обнаруженную в сентябре, которая позволяет выполнять произвольный вредоносный код.

Сложность операции стала очевидной, когда Ко заметил, что Norton заблокировал две отдельные попытки хищения DLL (библиотек динамической связи). Злоумышленники также внедрили вредоносный запланированный процесс, что свидетельствует о том, что подозрительная активность проявлялась через несколько каналов, а не только через один эксплойт.

Контекст отрасли: рост сложности вредоносных программ

Этот случай не единичен. В течение 2024 года киберпреступники значительно усилили свои тактики. McAfee зафиксировала использование хакерами репозиториев GitHub для поддержания постоянных соединений с инфраструктурой банковского вредоносного ПО, что позволяет их командным серверам оставаться активными даже после блокировки со стороны служб безопасности. Также наблюдается рост поддельных AI-инструментов, предназначенных для распространения вредоносных программ для кражи криптовалюты, фальшивых CAPTCHA-оверлеев и внедрения вредоносного кода в расширения Ethereum.

Советы для целей с высокой ценностью

Понимая, что некоторые лица — ангельские инвесторы, разработчики и бета-тестеры — подвергаются повышенному риску, Ко дал конкретные рекомендации. Для тех, кто придерживается стандартных мер безопасности, но хочет дополнительной защиты, он подчеркивает важность активного удаления и стирания сид-фраз из горячих кошельков в браузере, когда они не используются.

Еще более надежно: использовать приватные ключи вместо сид-фраз для высокоценных аккаунтов. Такой подход предотвращает компрометацию производных кошельков, если основной кошелек был взломан.

Расследование и похожие жертвы

Ко сообщил о происшествии полиции Сингапура, которая подтвердила получение его жалобы. Еще один жертва MetaToy, по имени Даниэль, также из Сингапура, подтвердил существование мошенничества. Особенно важно, что Даниэль оставался на связи с злоумышленниками, которые ошибочно полагали, что он все еще пытается скачать лаунчер. Этот факт подчеркивает, насколько продуманными являются эти операции — злоумышленники поддерживают контакт с потенциальными жертвами, что говорит о организованной кампании, а не о разовой эксплуатации.

Что это значит для криптосообщества

Инцидент с MetaToy демонстрирует тревожную тенденцию: когда злоумышленники сочетают профессиональный дизайн сайтов с легитимной коммуникацией команды, они успешно проходят первоначальный отбор, который проводят большинство инвесторов. Урок заключается не только в том, чтобы не скачивать подозрительные файлы. Он показывает, что даже самые параноидальные меры безопасности — антивирусы, системные сканирования, полные переустановки ОС — могут оказаться недостаточными против атак, разработанных с учетом множественных резервных каналов и zero-day уязвимостей.

Для участников криптовалютного рынка всех уровней очевиден вывод: предполагайте, что у продвинутых злоумышленников есть доступ к современным инструментам. Укрепляйте защиту слоями, строго соблюдайте гигиену сид-фраз, и будьте насторожены к любым возможностям, которые кажутся слишком хорошо организованными, независимо от того, насколько легитимно всё выглядит.