Нова хвиля крипто-шахрайства в Росії: дренажери маскуються під інвестиційні програми
Щонайменше три хакерські угруповання розгорнули масовану атаку на російських власників криптовалют із використанням шкідливих програм-дрейнерів. Зловмисники вправно маскують свої схеми під партнерські програми та вигідні пропозиції для інвесторів.
Наприкінці травня – на початку червня 2025 року аналітики профільного підрозділу F6 Digital Risk Protection зафіксували запуск щонайменше 15 сайтів-приманок, оснащених прихованими криптодрейнерами. Ці програми створені для миттєвого спустошення криптогаманців нічого не підозрюючих користувачів.
Механіка атаки виглядає наступним чином. Жертву заманюють на підроблений ресурс обіцянкою відкрити інвестиційний рахунок із вітальним бонусом у розмірі 50 USDT. Для активації цієї «щедрої» пропозиції користувачеві пропонують підключити свій гаманець, відсканувавши QR-код через офіційний додаток. Насправді ж, погоджуючи інтеграцію та підписуючи транзакційний запит, людина самостійно відкриває зловмисникам повний доступ до виведення всіх своїх цифрових активів: криптовалюти, токенів та NFT. Як тільки авторизація на фальшивому сайті завершена, шкідливе програмне забезпечення кількома запитами перевіряє баланс і миттєво виводить всі доступні кошти.
Основні хитрощі шахраїв
Фахівці виділяють три основні типи приманок, які використовують зловмисники:
- Інвестиційні рахунки: Обіцянка бонусу за реєстрацію.
- Активність у Telegram: Пропозиція вигідної купівлі «зірок» (внутрішньої валюти месенджера).
- Бонусні програми: Роздача безкоштовних токенів за підключення гаманця.
Важливо зазначити, що дрейнери не є принципово новим інструментом. Кілька років тому вони активно використовувалися в англомовному сегменті, після чого їхня активність пішла на спад. Зараз ми спостерігаємо відродження цієї загрози, але вже з прицілом виключно на російськомовну аудиторію. Зловмисники швидко адаптуються: на зміну заблокованим доменам приходять нові адреси.
Як захистити свої активи
Експерти F6 наполегливо рекомендують повністю відмовитися від переходів за підозрілими посиланнями з рекламних оголошень. Перед підключенням гаманця необхідно ретельно звіряти доменне ім'я ресурсу. Зловмисники часто реєструють співзвучні відомим брендам домени, тому варто перевіряти дату створення сайту через Whois-сервіси.
Крім того, оскільки брокерська діяльність у РФ ведеться лише за ліцензією Банку Росії, завжди можна перевірити дійсність такої ліцензії та офіційні інтернет-ресурси брокера на сайті ЦБ. Будь-які акції слід звіряти виключно на офіційних майданчиках. Підозрілий сайт можна надіслати на платформу «Антифішинг» — фахівці F6 перевірять інформацію та передадуть її регуляторам для блокування.
Коментар аналітика: Ця атака — яскравий приклад того, як класичні фішингові схеми отримують нове «дихання» в криптоіндустрії. Я рекомендую користувачам виробити залізне правило: ніколи не підключати гаманець до сайту, рекламу якого ви побачили у випадковому оголошенні або повідомленні. Будь-яка обіцянка «безкоштовних грошей» — це майже завжди червоний прапорець. Використовуйте апаратні гаманці та окремі «гарячі» гаманці з мінімальним балансом для взаємодії з новими dApps та сервісами.