Фишинг «Stable Genesis Airdrop»: кража фраз восстановления кошельков

Кампания «Stable Genesis Airdrop» стала заметной операцией крипто-фишинга, использующей сложные приёмы социальной инженерии, чтобы обманом заставить пользователей скомпрометировать свои крипто-кошельки. Атакующие нацеливались на seed phrase — ключевой компонент доступа и управления цифровыми активами — и сумели соединить классический фишинг с продвинутыми методами компрометации.

Краткое содержание расследования

• Операция имитировала легитимные платформы для повышения доверия жертвы: интерфейс был специально спроектирован, чтобы походить на официальные UI известных сервисов.
• Технический анализ включал исполнение вредоносного набора в sandbox, что подтвердило злонамеренный характер кампании.
• Путём анализа сетевого трафика аналитики смогли проследить каналы связи, используемые злоумышленниками для управления и облегчения их действий.
• Механизм фишинга был направлен как на получение доступа к кошелькам, так и на авторизацию несанкционированных транзакций в blockchain, что увеличивало риск прямых финансовых потерь для пользователей.

Технический анализ

Исследование кампании показало многоуровневую и скоординированную атаку:

• Поддельный UI: интерфейс создавался таким образом, чтобы минимизировать сомнения пользователя и спровоцировать ввод конфиденциальных данных.
• Исполнение в sandbox: тестирование в изолированной среде подтвердило наличие логики для сбора seed phrase и дальнейшего их использования.
• Мониторинг трафика: аналитики наблюдали за каналами связи злоумышленников, что позволило понять последовательность действий при похищении средств и подтверждении транзакций.
• Авторизация транзакций: помимо кражи фраз восстановления, кампания включала механизмы автоподписей или подмены запросов на подтверждение транзакций, что позволяло совершать переводы без ведома владельца.

«Двойной подход — кража seed phrase и авторизация несанкционированных транзакций — представляет серьёзную угрозу, поскольку позволяет злоумышленникам выводить средства без согласия владельца.»

Какие риски несёт кампания

• Непосредственные финансовые потери из‑за вывода средств с кошелька.
• Полный контроль над активами при получении seed phrase.
• Утечка других конфиденциальных данных при взаимодействии с поддельными сервисами.
• Сложность восстановления средств — в большинстве случаев средства, вывезенные в результате компрометации приватных ключей, вернуть невозможно.

Рекомендации для пользователей

• Никогда и ни при каких обстоятельствах не вводите и не делитесь своей seed phrase.
• Проверяйте URL и источник ссылок перед подключением кошелька — используйте официальные сайты и закладки.
• Используйте аппаратные кошельки и подтверждение транзакций на устройстве (hardware confirmation).
• Отклоняйте неожиданные запросы на подпись транзакций и внимательно проверяйте разрешения при подключении dApp.
• Регулярно проверяйте и отзывайте ненужные approvals через проверенные инструменты (например, Revoke.cash) и мониторьте активность через обозреватели блокчейнов.
• Используйте многофакторную аутентификацию где это возможно и храните seed phrase офлайн в надёжном месте.

Вывод

Кампания «Stable Genesis Airdrop» демонстрирует тенденцию усложнения методов атак в криптопространстве: злоумышленники комбинируют традиционные фишинговые подходы с техническими приёмами для получения и использования приватной информации. Пользователи и сервисы должны повышать уровень осторожности и внедрять дополнительные меры защиты — иначе цена ошибки может быть безвозвратной.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.