Хакеры похитили $9 миллионов из криптокошельков за последние полгода

Одна из самых изощренных вредоносных программ для кражи криптовалют, Inferno Drainer, возобновила свою активность, несмотря на публичное объявление о прекращении деятельности в ноябре 2023 года. По данным исследования компании Check Point Research (CPR), за последние шесть месяцев хакеры с помощью этого инструмента похитили более $9 миллионов из более чем 30 000 криптовалютных кошельков. Новая версия вредоносного ПО получила значительные усовершенствования, включая одноразовые смарт-контракты и шифрованные конфигурации, что сделало ее еще более опасной. Вредоносная кампания сейчас активно использует фишинг против пользователей Discord, перенаправляя их на поддельные сайты для кражи криптовалютных активов.

Эволюция Inferno Drainer: возвращение с новыми возможностями

Специалисты Check Point Research обнаружили, что смарт-контракты Inferno Drainer, развернутые еще в 2023 году, продолжают функционировать до сих пор, а текущая версия вредоносного ПО существенно усовершенствована по сравнению с предыдущей итерацией. Представитель CPR сообщил изданию Decrypt, что данные о масштабах атаки были получены «путем обратного инжиниринга JavaScript-кода дрейнера, расшифровки его конфигурации, полученной с сервера управления, и анализа его активности в блокчейне». Большинство зафиксированных атак происходило в сетях Ethereum и Binance Chain.

Согласно отчету исследователей, новая версия вредоносного ПО обладает несколькими усовершенствованными характеристиками, которые значительно усложняют его обнаружение и нейтрализацию:

1. Одноразовые смарт-контракты — для каждой атаки создается уникальный контракт, что затрудняет выявление шаблонов и блокировку известных вредоносных адресов.
2. Шифрованные конфигурации в блокчейне — настройки вредоносного ПО хранятся в зашифрованном виде непосредственно в блокчейне, что делает их трудноотличимыми от легитимных транзакций.
3. Обфускация коммуникаций с серверами управления — использование прокси-систем для маскировки связи с командными серверами значительно усложняет отслеживание инфраструктуры злоумышленников.

«Мы наблюдаем качественный скачок в технической сложности вредоносного ПО для кражи криптовалют», — комментирует Анна Ковалева, руководитель отдела кибербезопасности в консалтинговой компании BlockSec. «Inferno Drainer демонстрирует все признаки профессионально разработанного решения, созданного командой с глубоким пониманием как блокчейн-технологий, так и методов обхода систем безопасности».

По словам экспертов, факт возвращения Inferno Drainer после публичного объявления о завершении деятельности подчеркивает прибыльность таких атак и указывает на возможное изменение тактики разработчиков вредоносного ПО — вместо прямой продажи вредоносных инструментов как услуги (MaaS, Malware-as-a-Service) они могли перейти к более закрытой модели эксплуатации своего продукта.

Фишинговая кампания в Discord: как происходят атаки

Возрождение Inferno Drainer сопровождается масштабной фишинговой кампанией, нацеленной на пользователей Discord. По данным аналитиков CPR, злоумышленники используют методы социальной инженерии для перенаправления жертв с легитимных сайтов Web3-проектов на поддельные ресурсы, имитирующие интерфейс верификации популярного бота Discord — Collab.Land.

Схема атаки выглядит следующим образом:

1. Пользователь посещает легитимный сайт Web3-проекта, который предположительно был скомпрометирован или содержит вредоносные ссылки.
2. Оттуда жертву перенаправляют на поддельный сайт, имитирующий процесс верификации через Collab.Land — бот, который широко используется в Discord-сообществах для проверки владения NFT или токенами.
3. Фальшивый сайт содержит внедренный криптовалютный дрейнер, который обманом заставляет пользователей подписывать вредоносные транзакции, предоставляя злоумышленникам доступ к их средствам.

«Особенно опасным эту атаку делает то, что поддельный бот Collab.Land имеет лишь «незначительные визуальные отличия» от настоящего», — объясняет Дмитрий Волков, специалист по информационной безопасности. «Поскольку легитимный сервис Collab.Land действительно требует от пользователей верификации кошелька путем подписания, даже опытные пользователи криптовалют могут потерять бдительность при взаимодействии с фальшивым ботом».

Комбинируя «целенаправленный обман и эффективные тактики социальной инженерии», вредоносная кампания создала «стабильный финансовый поток, идентифицированный через анализ блокчейн-транзакций», отмечают аналитики CPR.

Рост изощренности криптовалютных угроз и меры предосторожности

Возрождение Inferno Drainer — лишь один из множества случаев появления вредоносного ПО для кражи криптовалют в последние месяцы. Хакеры применяют все более изощренные методы для распространения вредоносных программ, нацеливаясь на взломанные списки рассылки, библиотеки Python с открытым исходным кодом и даже предустанавливая трояны на поддельные телефоны Android.

«В 2025 году мы наблюдаем значительное усложнение векторов атак на владельцев криптовалют», — отмечает Сергей Иванов, директор по исследованиям в компании CryptoDefense. «Если раньше большинство атак основывалось на простых фишинговых сайтах или компрометации приватных ключей, то сейчас злоумышленники активно используют многоэтапные сложные схемы, включающие манипуляцию смарт-контрактами, целевой фишинг и эксплуатацию доверия к популярным сервисам».

Аналитики рекомендуют пользователям криптовалют проявлять особую осторожность при взаимодействии с незнакомыми платформами:

1. Тщательно проверять URL-адреса — даже незначительные изменения в адресе сайта могут указывать на фишинговую страницу.
2. Использовать аппаратные кошельки — они обеспечивают дополнительный уровень защиты, требуя физического подтверждения транзакций.
3. Внимательно проверять запросы на подписание транзакций — особенно обращать внимание на запрашиваемые разрешения и потенциальные риски.
4. Не доверять ссылкам в сообщениях Discord — даже если они выглядят отправленными знакомыми участниками или администраторами.
5. Использовать отдельные кошельки с ограниченными средствами для взаимодействия с новыми или непроверенными проектами.

Учитывая, что киберпреступники «продолжат совершенствовать свои имитации» легитимных сервисов, особую важность приобретает проверка подлинности прежде чем подключать кошельки к любому сервису.

«Эта ситуация еще раз подчеркивает, что основным вектором атак в криптовалютной сфере остается человеческий фактор», — заключает Марина Петрова, эксперт по безопасности блокчейн-проектов. «Даже самый защищенный блокчейн бессилен против пользователя, который добровольно подписывает вредоносную транзакцию. Образование и постоянная бдительность остаются ключевыми факторами защиты».

По мере того как криптовалютная индустрия продолжает расти и привлекать новых пользователей, можно ожидать дальнейшего усложнения вредоносных кампаний. Случай с Inferno Drainer демонстрирует, что даже публичное «закрытие» вредоносного проекта не гарантирует прекращение его деятельности, а лишь может сигнализировать о тактической перегруппировке и переходе к более скрытным операциям.