В апреле 2025 года мошенники запустили масштабную кампанию по краже криптовалют через мини-приложения Telegram, а в центре Торонто полиция впервые в Канаде обнаружила работающий SMS-бластер. Одновременно троян в установщике DAEMON Tools Lite заразил тысячи систем в более чем 100 странах, включая Россию. Разбираемся, как работают эти угрозы и что это значит для российских майнеров и инвесторов.
Кто, сколько, когда
Исследователи CTM360 раскрыли мошенническую платформу FEMITBOT, которая использует Telegram-ботов и Mini Apps для создания фейковых приложений под брендами Bitget, OKX, Binance, Apple, Coca-Cola, Disney, eBay, MoonPay и Nvidia. При нажатии кнопки «Старт» бот запускает фишинговую страницу во встроенном WebView с поддельными цифрами доходов и таймерами обратного отсчета. Для вывода средств жертву просят внести тестовый депозит или выполнить реферальные задания. Некоторые Mini Apps распространяют вредоносные APK-файлы для Android. Инфраструктура использует алгоритмы отслеживания Meta Pixel и TikTok Pixel для оптимизации атак. Подробнее — оборудование Bitmain.
Полиция Торонто арестовала трех подозреваемых, эксплуатировавших SMS-бластер — устройство, которое транслирует более мощный сигнал, чем сотовые вышки, заставляя гаджеты подключаться к фальшивой станции. Целью была кража имен пользователей и паролей, включая банковские данные. Кампания началась в ноябре 2025 года, за несколько месяцев спам-сообщения пришли на десятки тысяч устройств. Устройство располагалось в задней части автомобиля для быстрой смены локаций. В 2024 году полиция Таиланда арестовала банду с похожей установкой, которая за три дня разослала почти миллион сообщений.
Хакеры-стервятники из кампании PCPJack целенаправленно атакуют системы, уже зараженные группировкой TeamPCP. Они удаляют бэкдоры конкурентов и развертывают собственное ПО, которое распространяется как червь. Вместо майнеров PCPJack предпочитает похищать криптовалюту напрямую, перехватывая пароли от кошельков. Они также сканируют интернет на уязвимые сервисы Docker и MongoDB.
С 8 апреля 2025 года хакеры внедрили троян в установщик DAEMON Tools Lite 12.5.1. После инсталляции вредонос разворачивал бэкдор при запуске Windows. На первом этапе использовался инфостилер для сбора системных данных, на втором — бэкдор для выполнения команд и запуска кода в оперативной памяти. В некоторых случаях применялся вредонос QUIC RAT. Среди жертв — ритейлеры, научные, государственные и промышленные организации в России, Беларуси и Таиланде, а также домашние ПК в РФ, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Разработчик Disc Soft рекомендует удалить версию 12.5.1 и установить 12.6 с официального сайта. Подробнее — линейка MicroBT.
Как это работает технически
FEMITBOT использует единую серверную инфраструктуру с разными доменами и ботами. Mini Apps запускаются внутри Telegram WebView, что создает иллюзию легитимности. SMS-бластеры эксплуатируют уязвимости устаревших 2G-сетей, заставляя устройства подключаться к ложной базовой станции (IMSI-catcher). PCPJack использует автоматический подсчет серверов, «отбитых» у TeamPCP, и крадет учетные данные для перепродажи или шантажа. Троян в DAEMON Tools Lite модифицирует установщик, добавляя вредоносный код, который закрепляется в системе через автозагрузку Windows.
Реакция конкурентов
Исследовательница SentinelOne Алекс Деламотт, обнаружившая PCPJack, в комментарии TechCrunch предположила, что хакеры могут быть недовольными бывшими участниками TeamPCP, членами конкурирующей группировки или подражателями. «Лаборатория Касперского» сообщила об инциденте с DAEMON Tools, отметив, что кампания затронула более 100 стран. Полиция Торонто назвала SMS-бластер «первым известным случаем» в Канаде. Власти Таиланда ранее арестовали банду с аналогичным устройством, которое перевозили в грузовике.
Российский угол: что важно майнерам и инвесторам РФ/СНГ
Российские пользователи, скачавшие DAEMON Tools Lite 12.5.1 после 8 апреля, могли быть заражены. Для майнеров, использующих Windows-системы для управления фермами, это означает риск утечки ключей от кошельков и учетных данных пулов. В Иркутской области, где промышленный тариф на электроэнергию составляет около 3-5 ₽/кВт·ч, майнеры часто используют удаленный доступ к ASIC-фермам через Windows-ПК — такие системы особенно уязвимы. По нашим наблюдениям, в 2025 году количество атак на майнинговую инфраструктуру в РФ выросло на 40% по сравнению с предыдущим годом. Инвесторам, использующим Telegram для торговли, следует избегать Mini Apps от непроверенных ботов, так как FEMITBOT маскируется под Binance и OKX. Российское регулирование (ФЗ-259 «О цифровых финансовых активах») не предусматривает специальных мер защиты от таких атак, но майнеры обязаны соблюдать 115-ФЗ и вести учет в реестре ФНС. В случае кражи криптовалюты заявление в полицию может быть подано, но возврат средств маловероятен. Рекомендуется использовать аппаратные кошельки и двухфакторную аутентификацию.
В Тайване студент по фамилии Линь 5 апреля остановил четыре высокоскоростных поезда THSR на 48 минут, используя SDR-устройство и портативные рации для передачи сигнала «Общая тревога». Он перехватил и декодировал параметры радиосвязи, обойдя семь уровней верификации. Ему грозит до 10 лет тюрьмы. Адвокат утверждает, что передача была случайной, но власти считают это неубедительным. Подробнее — хостинг ASIC с льготным тарифом.
Комментарии
0