Криптоактивы хакеров на $8,3 млн арестованы в Украине
Правоохранительные органы Украины успешно пресекли деятельность международной хакерской группировки, специализировавшейся на кибератаках в странах Европы и США. Генеральный прокурор Руслан Кравченко сообщил о задержании одного из участников этой группы. Злоумышленники использовали вредоносное программное обеспечение для кражи конфиденциальной информации и документов, требуя за них выкуп. Полученные средства переводились на криптовалютные кошельки, а затем обналичивались и легализовались на территории Украины, в том числе через приобретение недвижимости и дорогостоящего имущества. Общая сумма ущерба, по предварительным оценкам, превысила $100 млн.
В ходе масштабного расследования было проведено более 30 обысков, в результате которых арестованы активы на общую сумму около $11,1 млн. Среди них — жилые дома, автомобили, $1 млн наличными и криптовалюта на сумму примерно $8,3 млн. Также установлен и задержан соучастник, ответственный за отмывание незаконно полученных средств.
Новые угрозы: троян ClipBanker и PHANTOMPULSE
Специалисты «Лаборатории Касперского» выявили активную кампанию по распространению трояна ClipBanker. Этот вредоносный код предназначен для подмены адресов криптовалютных кошельков в буфере обмена. Троян маскируется под популярную утилиту Proxifier, используемую разработчиками и системными администраторами для перенаправления трафика. Примечательно, что ссылка на зараженный репозиторий на GitHub находится в топе поисковых выдач Google и Яндекс, что значительно увеличивает риск заражения.
ClipBanker разворачивается скрытно в процессе установки Proxifier, используя бесфайловую технику заражения, при которой вредоносный код работает непосредственно в оперативной памяти. Затем скрипт из реестра, ведущий на GitHub, запускается по задаче из планировщика, загружая финальную нагрузку. Основная функция трояна — мониторинг буфера обмена и подмена адресов криптокошельков. С начала 2025 года более 2000 пользователей «Лаборатории Касперского» столкнулись с этой угрозой, преимущественно в Индии и Вьетнаме.
Кроме того, эксперты Elastic Security Labs обнаружили новую кампанию, использующую приложение для заметок Obsidian в качестве вектора атаки. Целью стали сотрудники финансовых и криптовалютных организаций. Злоумышленники выдают себя за представителей венчурной фирмы, перенося общение в Telegram, где создают иллюзию легитимности. Жертвам предлагают подключиться к облачному хранилищу (vault) в Obsidian, якобы содержащему общий аналитический дашборд. Для выполнения вредоносного кода хакеры используют плагины Obsidian Shell Commands и Hider, убеждая жертву включить сторонние плагины, которые по умолчанию отключены. После этого вредоносная конфигурация файла хранилища автоматически запускает команды.
На системах Windows атака активирует скрипт, загружающий и устанавливающий троян PHANTOMPULSE, созданный с помощью ИИ. Он использует блокчейн Ethereum в качестве Dead Drop Resolver (DDR) для определения адреса командного сервера, декодируя последние транзакции конкретного кошелька. PHANTOMPULSE собирает телеметрию, выполняет команды через внедрение кода, делает скриншоты, ведет журнал, способен повышать привилегии до уровня SYSTEM и заметать следы. На системах Apple троян запускает AppleScript, для которого роль DDR выполняет Telegram, что позволяет хакерам оперативно менять домены в случае обнаружения.
Шантаж Kraken и вопросы конфиденциальности Signal
Криптовалютная биржа Kraken столкнулась с шантажом после нескольких инцидентов, связанных с её сотрудниками. Глава информационной безопасности Kraken Ник Перкоко сообщил, что злоумышленники угрожают опубликовать видеозаписи, якобы демонстрирующие доступ к данным пользователей. Перкоко подчеркнул, что инфраструктура Kraken не была взломана, а средства клиентов остаются в безопасности. Инцидент связан с неправомерным доступом сотрудников службы поддержки к информации с ограниченным доступом. Около 2000 аккаунтов (0,02% от всей клиентской базы) могли быть затронуты, и их владельцы получили соответствующие уведомления.
Расследование показало, что один из сотрудников поддержки был завербован хакерами. Позднее произошел аналогичный инцидент. Kraken активно сотрудничает с правоохранительными органами в различных юрисдикциях, передавая им собранные улики.
В другом инциденте, касающемся конфиденциальности, ФБР удалось восстановить сообщения из мессенджера Signal, несмотря на то, что они были удалены, а само приложение стерто с iPhone. Этот факт был представлен в суде по делу о нападении на центр ICE в Техасе. Журналисты 404 Media предполагают, что восстановление данных стало возможным благодаря push-уведомлениям, которые сохраняются во внутренней базе iOS. Если в настройках Signal разрешен показ содержимого переписки в превью на заблокированном экране, текст может оставаться в хранилище даже после удаления приложения. Сооснователь Telegram Павел Дуров отреагировал на новость, назвав это «еще одним доказательством» безопасности секретных чатов.
Что это значит для майнеров и инвесторов из РФ/СНГ?
Для майнеров и инвесторов из России и СНГ эти новости подчеркивают критическую важность кибербезопасности. Участившиеся случаи подмены криптоадресов (ClipBanker) требуют повышенной бдительности при копировании и вставке адресов кошельков. Всегда проверяйте первые и последние символы адреса перед подтверждением транзакции. Использование новых троянов, таких как PHANTOMPULSE, которые применяют ИИ и блокчейн Ethereum для управления, указывает на усложнение методов атак. Майнерам следует быть крайне осторожными с любым сторонним ПО, особенно если оно требует отключения стандартных настроек безопасности или установки плагинов. Регулярное обновление операционных систем и антивирусных программ, а также использование аппаратных кошельков для хранения значительных объемов криптовалюты остаются ключевыми мерами защиты. Инцидент с Kraken напоминает о необходимости использования двухфакторной аутентификации и осторожности при взаимодействии с техподдержкой любых криптосервисов. А история с Signal демонстрирует, что даже удаленные данные могут быть восстановлены, что актуализирует вопросы цифровой гигиены и конфиденциальности личной переписки, особенно при обсуждении финансовых вопросов.
Комментарии
0