Як засновник криптовалют у Сінгапурі став останньою жертвою у складній кампанії з використанням шкідливого програмного забезпечення

Коли професійний вигляд недостатній для захисту

Криптоспільнота знову попереджена про небезпеки зловмисних можливостей, що здаються легітимними. Марк Ко, засновник RektSurvivor—організації, присвяченої підтримці жертв шахрайства—зазнав цього на власному досвіді, коли втратив понад $14,000 у криптовалюті через складно спроектовану шахрайську схему.

5 грудня Ко натрапив на те, що здавалося ексклюзивною бета-версією онлайн-ігри MetaToy, просунутою через Telegram. Оскільки він має досвід оцінки та інвестування у проекти Web3, Ко вважав цю пропозицію достовірною. Вебсайт проекту, Discord-сервер і швидка команда створювали ілюзію легітимності, що переконало його продовжити. Ключова помилка сталася, коли він завантажив лаунчер гри MetaToy—він містив приховане шкідливе програмне забезпечення.

Наслідки: як заходи безпеки все ж не врятували

Наступні події показують, наскільки сучасні загрози стали складними. Незважаючи на те, що антивірус Norton позначив підозрілі дії, а Ко одразу вживав заходів—запускав повні сканування системи, видаляв позначені файли та записи в реєстрі, навіть виконав повну переустановку Windows 11—збитки вже були нанесені. За 24 години після цих очищувальних заходів усі гаманці, підключені до його розширень Rabby і Phantom у браузері, були повністю опустошені.

Загальні втрати: 100 000 юанів ($14,189), накопичені за вісім років криптоучасті.

“Я навіть не заходив у додаток гаманця. У мене були окремі фрази відновлення. Нічого не зберігалося в цифровому вигляді,” пояснив Ко ЗМІ, підкреслюючи, наскільки інвазивною була атака.

Мульти-векторна атака

Аналіз Коу, у поєднанні з інсайдами з кібербезпеки, свідчить, що атака використовувала кілька складних технік одночасно. Основним механізмом, ймовірно, було викрадення токенів автентифікації з браузерних розширень. Але зловмисники також експлуатували вразливість Google Chrome zero-day, виявлену у вересні, яка дозволяє виконувати довільний шкідливий код.

Складність операції стала очевидною, коли Ко зрозумів, що Norton заблокував дві окремі спроби хакерського захоплення (динамічної бібліотеки посилань) (DLL). Зловмисники також вставили шкідливий запланований процес, що демонструє, що підозріла поведінка виникла через кілька шляхів, а не лише один вектор експлуатації.

Контекст галузі: зростання складності шкідливого ПЗ

Цей випадок не є ізольованим. У 2024 році кіберзлочинці значно посилили свої тактики. McAfee задокументувала, як хакери використовують репозиторії GitHub для підтримки постійних з’єднань із інфраструктурою банківського шкідливого ПЗ, забезпечуючи роботу командних серверів навіть після їх зупинки командами безпеки. Галузь також зазнала зростання підроблених інструментів AI, створених для поширення шкідливого ПЗ для крадіжки криптовалюти, фальшивих накладок CAPTCHA і шкідливих інжекцій коду, спрямованих на розширення Ethereum.

Рекомендації для цінних цілей

Розуміючи, що деякі особи—ангельські інвестори, розробники і бета-тестери—знаходяться під підвищеним ризиком, Ко поділився конкретними рекомендаціями. Для тих, хто дотримується стандартних заходів безпеки, але хоче додаткового захисту, він наголошує на важливій практиці: активно видаляти та очищати фрази відновлення з браузерних гарячих гаманців, коли вони не використовуються.

Ще більш надійно: використовувати приватні ключі замість фраз відновлення для високовартісних акаунтів. Це запобігає компрометації похідних гаманців у разі зламу основного.

Розширене розслідування і подібні жертви

Ко повідомив про інцидент поліцію Сінгапуру, яка підтвердила отримання його скарги. Ще один жертва MetaToy, ідентифікований як Daniel і також із Сінгапуру, підтвердив існування шахрайства. Важливо, що Daniel залишався у контакті з зловмисниками, які помилково вважали, що він все ще намагається завантажити лаунчер. Це підкреслює, наскільки обчислювально продумані ці операції—зловмисники підтримують зв’язок із потенційними жертвами, що свідчить про організовану кампанію, а не випадкову експлуатацію.

Що це означає для криптоспільноти

Інцидент з MetaToy ілюструє тривожну тенденцію: коли зловмисники поєднують професійний веб-дизайн із легітимною комунікацією команди, вони успішно проходять початковий відбір, який зазвичай проводять інвестори. Урок глибший, ніж просто “не завантажуйте підозрілі файли”. Він показує, що навіть параноїдальні заходи безпеки—антивірусне ПЗ, системні сканування, повна переустановка ОС—можуть бути недостатніми проти атак, що мають кілька рівнів захисту і використовують zero-day вразливості.

Для учасників криптоіндустрії всіх рівнів очевидно: слід вважати, що досвідчені зловмисники мають доступ до передових інструментів. Посилюйте захисти, дотримуйтеся суворої гігієни фраз відновлення і будьте насторожі щодо будь-яких можливостей, що здаються занадто добре організованими, незалежно від того, наскільки легітимно вони виглядають.