Як витончене шкідливе програмне забезпечення зняло з рахунку криптоінвестора з Сінгапуру його восьмирічний портфель

Коли Марк Кох у грудні натрапив на, здавалося б, легітимну можливість тестування гри у Telegram, він не мав підозр щодо небезпеки. Засновник платформи підтримки жертв RektSurvivor, який має великий досвід у оцінці Web3-проектів, був вражений професійним виглядом сайту MetaToy, активною спільнотою у Discord та швидкою реакцією команди. Професійна презентація запуску гри створювала враження надійності — таке очевидне підозріле обличчя у мемах просто не було.

Але зовнішність обманює. Встановлення лаунчера MetaToy непомітно інфікувало його систему сучасним шкідливим програмним забезпеченням, спеціально розробленим для цільової атаки на власників криптоактивів.

Атака розгортається: технічна складність, що перевищує базові загрози

Протягом 24 годин після проведення комплексних заходів безпеки — повних сканувань системи, видалення підозрілих файлів і навіть повної переустановки Windows 11 — всі підключені гаманці у програмному забезпеченні були опустошені. Збитки склали: $14 189 USD (еквівалентно 100 000 юанів), накопичених за вісім років, повністю зняті з розширень Rabby та Phantom у браузерах.

Реакція Коха була систематичною. Незважаючи на те, що його антивірус виявив і заблокував підозрілу активність, включаючи дві спроби перехоплення DLL, зловмисники все ж досягли мети. “У мене були окремі фрази для відновлення. Нічого не зберігалося цифрово,” — розповів він дослідникам безпеки, але кошти зникли незалежно від цього.

Технічний аналіз показав багаторівневу атаку. Зловмисники поєднали крадіжку токенів автентифікації з експлуатацією уразливості Google Chrome zero-day, вперше задокументованої у вересні, що дозволяло виконувати віддалений код на його машині. “В атаці було кілька векторів, і вони також впровадили шкідливий запланований процес,” — пояснив Кох, вказуючи, що шахраї одночасно застосовували резервні методи атаки.

Інцидент у Сінгапурі та ширші тенденції кіберзлочинності

Кох повідомив про інцидент поліцію Сінгапуру, яка підтвердила отримання звіту про шахрайство. Другий жертва, що базується у тому ж регіоні і ідентифікований як Деніел, зазнав подібної компрометації після завантаження того ж шкідливого лаунчера. Важливо, що шахрай підтримував контакт із Деніелом, неправдиво вірячи, що той залишився зацікавленим у доступі до платформи.

Цей інцидент у Сінгапурі є прикладом все більш витончених тактик поширення шкідливого ПЗ. Останні тенденції кіберзлочинності включають використання репозиторіїв GitHub для збереження стійкості банківського шкідливого ПЗ, підробки інструментів AI для поширення варіантів крадіжки криптоактивів, зловмисні pull-запити у розширення Ethereum та фальшиві системи Captcha, спрямовані на збір облікових даних.

Захисні заходи: рекомендації Коха для цілей високої цінності

З огляду на демонстровану складність, Кох наголошує на профілактичних протоколах для розробників, ангельських інвесторів та інших, хто ймовірно завантажить бета-додатки:

Видаляйте seed-фрази з браузерних гарячих гаманців, коли вони не використовуються. Стандартні заходи безпеки виявилися недостатніми проти цієї атаки, тому додаткова ізоляція є критичною.

Пріоритетно керуйте приватними ключами, а не зберігайте seed-фрази. Використання приватних ключів обмежує ризик — якщо один гаманець буде зламано, похідні гаманці залишаться захищеними.

Передбачайте, що складні зловмисники застосовують кілька векторів інфікування. Виявлення антивірусом певних загроз не гарантує повної безпеки системи; слід враховувати існування резервних механізмів атаки.

Інцидент MetaToy є яскравим нагадуванням про те, що навіть досвідчені криптоінвестори з професійним судженням і засобами безпеки залишаються вразливими до скоординованих, технологічно просунутих загроз. Поєднання соціальної інженерії (професійного фасаду), доставки шкідливого ПЗ (лаунчера гри) та експлуатації zero-day створили поверхню атаки, яку стандартні засоби захисту не могли повністю запобігти.