Как киберпреступники подделывают репутацию: кампания с криптовалютными клипперами и фейковыми отзывами

Киберпреступники всё чаще применяют тактику манипуляции репутацией для распространения вредоносного ПО. Недавнее расследование выявило кампанию, в которой злоумышленники используют платные обзоры на авторитетных новостных сайтах, поддельные аккаунты на GitHub и SourceForge, а также скоординированные действия на VirusTotal для продвижения криптовалютных клипперов. Эти программы тайно заменяют адреса кошельков в буфере обмена на адреса злоумышленников, что позволяет автоматически перехватывать транзакции. Аналитики отмечают, что атака нацелена на пользователей, ищущих быстрые способы заработка на криптовалюте или в крипто-играх, и использует целый арсенал инструментов для создания видимости легитимности.

Фальшивый хайп вокруг вредоносного ПО: как работает кампания

Киберпреступники не ограничиваются традиционными методами распространения вредоносного ПО. Вместо этого они используют целый набор маркетинговых приёмов, чтобы создать иллюзию популярности и надёжности для своих инструментов. Согласно отчёту исследователей, угрожающий актор запустил платные или продвигаемые посты на новостных сайтах, где представлял свои криптовалютные клипперы как легальные утилиты для торговли или анализа рынка. Эти посты часто содержали завышенные цифры загрузок, поддельные отзывы и даже «обучающие» видео с AI-рассказчиками, имитирующими легитимных экспертов.

Центральным элементом кампании стала фейковая WordPress-страница, позиционируемая как официальный сайт проекта. С неё пользователей перенаправляли на страницы загрузки на GitHub и SourceForge, где были размещены якобы полезные утилиты — например, боты для торговли на Pump.fun или предсказатели исходов crash-игр. На первый взгляд, эти инструменты выглядели как легальные решения для криптотрейдинга или гемблинга, но на самом деле содержали скрытый клиппер, который начинал действовать сразу после установки.

Исследователи обратили внимание на то, что угрожающий актор использовал тактику «призрачных сетей» (Ghost Networks) для манипуляции платформами, где репутация играет ключевую роль. Например, на VirusTotal было зафиксировано множество положительных отзывов и оценок от фиктивных аккаунтов, что должно было убедить пользователей в безопасности файлов. Аналогичные схемы наблюдались на GitHub, где поддельные аккаунты ставили звёзды и делали форки репозиториев, а на SourceForge — где счётчики загрузок были искусственно раздуты, включая нереалистично высокое количество скачиваний с Android-устройств, хотя программа была предназначена только для Windows и macOS.

Поддельные отзывы и AI-рассказчики: как создаётся видимость легитимности

Одной из ключевых особенностей кампании является использование поддельных отзывов и обзоров для создания видимости популярности. Платные посты на новостных сайтах имитировали редакционные материалы, где инструмент представлялся как революционное решение для быстрого обогащения. В сочетании с «обучающими» видео, где AI-рассказчики демонстрировали работу программ, создавалась иллюзия надёжности и эффективности. Пользователи, ищущие способы быстро заработать на криптовалюте или в крипто-играх, становились лёгкой добычей для злоумышленников.

На VirusTotal угрожающий актор координировал действия фиктивных аккаунтов, которые оставляли положительные отзывы и загружали вредоносные файлы, чтобы те получали низкий уровень угрозы или вообще классифицировались как безопасные. Это создавало ложное ощущение безопасности, особенно у неопытных пользователей, которые часто доверяют платформам вроде VirusTotal как источнику объективной информации о файлах. Аналогичная тактика применялась на GitHub, где поддельные аккаунты ставили звёзды и делали форки репозиториев, чтобы придать проекту видимость активного сообщества.

На SourceForge счётчики загрузок также были искусственно раздуты. Например, один из проектов якобы набрал более 44 тысяч загрузок, причём около 37 тысяч якобы пришлись на Android-устройства. Однако разработчики программы заявляли, что она поддерживает только Windows и macOS, что делает такую статистику крайне подозрительной. Исследователи предполагают, что для раздувания цифр могли использоваться фермы Android-устройств, автоматически скачивающих файлы для искусственного увеличения популярности.

Технические детали: как работает криптовалютный клиппер

Криптовалютный клиппер, распространяемый в рамках этой кампании, представляет собой вредоносное ПО на языке Rust, которое работает на Windows и macOS. Его основная задача — мониторинг буфера обмена пользователя в поисках строк, напоминающих адреса криптовалютных кошельков. Как только такая строка обнаруживается, клиппер автоматически подменяет её на адрес, контролируемый злоумышленниками. Таким образом, даже если пользователь скопирует правильный адрес для перевода средств, программа незаметно подставит адрес атакующего, и транзакция уйдёт не туда, куда планировалось.

Особенность этого клиппера заключается в том, что он использует жёстко закодированный список адресов, из которого выбирается подставной адрес для подмены. Это означает, что даже если пользователь заметит подмену и отменит транзакцию, злоумышленники уже получат доступ к средствам. Кроме того, программа работает скрытно, не отображая никаких уведомлений или предупреждений, что делает её особенно опасной для пользователей, не имеющих опыта работы с криптовалютами.

Исследователи отмечают, что клиппер был встроен в инструменты, которые позиционировались как полезные для криптотрейдинга или гемблинга. Например, он мог скрываться внутри ботов для торговли на Pump.fun или предсказателей исходов crash-игр. Пользователи, скачивающие такие программы в надежде получить преимущество на рынке, не подозревают, что становятся жертвами мошенников. Клиппер начинает действовать сразу после установки, поэтому даже одно неосторожное скачивание может привести к потере средств.

Масштабы кампании: фиктивные аккаунты и скоординированные атаки

Масштабы кампании впечатляют. На VirusTotal было зафиксировано множество скоординированных действий фиктивных аккаунтов, которые оставляли положительные отзывы и загружали вредоносные файлы. Это создавало ложное ощущение безопасности, особенно у пользователей, которые доверяют платформе как источнику объективной информации. Аналогичные схемы применялись на GitHub, где поддельные аккаунты ставили звёзды и делали форки репозиториев, чтобы придать проекту видимость активного сообщества.

На SourceForge угрожающий актор использовал тактику искусственного увеличения популярности. Например, один из проектов якобы набрал более 44 тысяч загрузок, причём около 37 тысяч якобы пришлись на Android-устройства. Однако разработчики программы заявляли, что она поддерживает только Windows и macOS, что делает такую статистику крайне подозрительной. Исследователи предполагают, что для раздувания цифр могли использоваться фермы Android-устройств, автоматически скачивающих файлы для искусственного увеличения популярности.

Кроме того, угрожающий актор использовал YouTube-канал, где публиковались видео с демонстрацией работы программ. Эти видео, как правило, содержали AI-рассказчиков, имитирующих легитимных экспертов, и показывали, как инструмент якобы помогает зарабатывать на криптовалюте. Пользователи, которые не разбираются в технических деталях, могли поверить в легитимность программы и скачать её, не подозревая о скрытых угрозах.

Кого атакуют и почему это опасно

Основной целью кампании являются пользователи, ищущие быстрые способы заработка на криптовалюте или в крипто-играх. Киберпреступники знают, что такие пользователи часто готовы рисковать безопасностью ради потенциальной прибыли. Клипперы, скрытые в инструментах для торговли или предсказания исходов игр, становятся особенно опасными, так как пользователи не подозревают о подмене адресов кошельков.

Опасность усугубляется тем, что клипперы работают скрытно и не требуют каких-либо дополнительных действий от пользователя. Достаточно один раз скопировать адрес кошелька, и программа автоматически подменит его. Даже если пользователь заметит подмену и отменит транзакцию, злоумышленники уже получат доступ к средствам. Кроме того, манипуляции с репутацией на платформах вроде VirusTotal или GitHub делают вредоносное ПО ещё более привлекательным для неопытных пользователей.

Особую угрозу кампания представляет для пользователей, которые не имеют достаточного опыта работы с криптовалютами. Они могут не заметить подмены адреса или не знать, как проверить легитимность программы. В результате они рискуют потерять все средства на своём кошельке. Киберпреступники используют эту уязвимость, чтобы максимизировать свои доходы за счёт наименее защищённых пользователей.

Как защититься от подобных атак

Для защиты от таких кампаний пользователям следует проявлять осторожность при скачивании любых инструментов, особенно если они обещают быстрый заработок или преимущество на рынке. Важно проверять репутацию программ на нескольких платформах, а не доверять одному источнику. Например, если программа позиционируется как легальный инструмент для криптотрейдинга, стоит поискать отзывы на независимых форумах или в сообществах, а не полагаться только на отзывы на сайте разработчика.

Кроме того, пользователям следует использовать проверенные антивирусные решения и регулярно обновлять их. Многие клипперы обнаруживаются современными антивирусами, поэтому своевременное обновление баз данных может предотвратить заражение. Также рекомендуется использовать аппаратные кошельки или программные кошельки с функцией проверки адресов, которые могут предупреждать о подозрительных изменениях в буфере обмена.

Важно помнить, что любые инструменты, обещающие быстрый заработок без риска, с высокой вероятностью являются мошенническими. Пользователям стоит скептически относиться к программам, которые активно продвигаются через платные обзоры или AI-рассказчиков. Если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, это именно так и есть.

Что ждёт кампанию и её жертв

Исследователи отмечают, что такие кампании становятся всё более распространёнными, так как злоумышленники активно используют новые тактики для обхода защиты. Манипуляции с репутацией, использование AI-рассказчиков и скоординированные атаки на платформы вроде VirusTotal или GitHub создают новые вызовы для пользователей и специалистов по кибербезопасности.

В ближайшее время можно ожидать, что угрожающие акторы будут совершенствовать свои методы, используя более изощрённые схемы обмана. Например, они могут начать применять deepfake-технологии для создания более убедительных видео или использовать чат-ботов для имитации поддержки пользователей. Это потребует от пользователей ещё большей бдительности и от специалистов по кибербезопасности — разработки новых методов защиты.

Для пользователей, уже пострадавших от таких атак, важно как можно быстрее принять меры. Если есть подозрение, что кошелёк был скомпрометирован, необходимо немедленно перевести средства на новый адрес и уведомить службу поддержки биржи или кошелька. Также стоит сообщить о инциденте в службу кибербезопасности, чтобы помочь предотвратить аналогичные атаки в будущем.

В целом, кампания с криптовалютными клипперами демонстрирует, как киберпреступники используют новые тактики для обмана пользователей. Она подчёркивает важность бдительности и проверки источников перед скачиванием любых инструментов, особенно если они обещают быстрый заработок. Только так можно минимизировать риски и защитить свои средства от мошенников.