СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.10.2025
#Dev#ИБ#ИИ#Инфра#Облака

Координированная схема кражи криптовалюты через вредоносные сайты и приложения

Координированная схема кражи криптовалюты через вредоносные сайты и приложения

Киберпреступная группа разработала согласованную схему «утечки» криптовалютных кошельков, объединяя вредоносные веб‑сайты, фальшивые торговые платформы и мобильные фишинговые приёмы. Все компоненты операции связаны общей инфраструктурой, привязанной к IP‑адресу 8.221.100.222, что указывает на централизованное управление и высокую координацию действий злоумышленников.

Как работает схема

Операция использует несколько векторoв атаки одновременно, чтобы повысить успех мошенничества:

  • мошеннические расширения для браузера, маскирующиеся под легитимные инструменты;
  • мобильный фишинг через профильные конфигурации Apple и ложные «приложения», которые на самом деле создают веб‑клипы и перенаправляют на фишинговые страницы;
  • фиктивные торговые платформы и сайты, содержащие вредоносные скрипты для эксфильтрации данных и внедрения дополнительных вредоносных модулей.

Ключевые домены и их роль

В расследовании выделены несколько конкретных доменов, вовлечённых в операцию:

  • medaigenesis.cc — ключевой элемент схемы, маскирующийся под инновационный проект в области здравоохранения с упоминанием blockchain, AI 5.0 и NFT. Сайт использует привлекательные концепции для завоевания доверия жертв и распространения своей вредоносной программы, направленной на опустошение криптокошельков.
  • novacrypt.net — «приложение» Novacrypt, ориентированное на пользователей iPhone: вместо реального приложения распространяется веб‑клип, который затем превращается в фишинговую страницу для кражи учётных данных обменников. Последние изменения в A‑записи этого домена по состоянию на 25 сентября указывают на то, что злоумышленники либо перенесли инфраструктуру, либо домен был отключён.
  • zzztd.com — позиционирует себя как платформа для торговли криптовалютами, но анализ исходного кода выявил потенциально вредоносные скрипты, предназначенные для эксфильтрации данных и/или внедрения malware на устройства жертв.

Инфраструктура: общий IP и облачный сервер

Всё перечисленное доменное пространство связано с единым IP‑адресом 8.221.100.222, который отследили до облачного сервера Alibaba в Азии. Наличие множества мошеннических доменов на одном IP свидетельствует о том, что эти операции не являются разрозненными: злоумышленники используют консолидированную инфраструктуру для одновременного проведения нескольких мошеннических кампаний.

Мобильный вектор: профили конфигурации Apple и веб‑клипы

Особое внимание стоит уделить мобильному вектору атаки. «Приложение» Novacrypt обманным путём побуждает пользователей iPhone установить профиль или веб‑клип, который внешне напоминает легитимное торговое приложение. На деле этот веб‑клип открывает фишинговую страницу, позволяя злоумышленникам получить учётные данные пользователей для доступа к обменникам и кошелькам.

Индикаторы компрометации (IOCs)

  • Домены: medaigenesis.cc, novacrypt.net, zzztd.com
  • IP‑адрес: 8.221.100.222 (облачный сервер Alibaba)
  • Поведение: распространение мошеннических расширений, установка профилей Apple и веб‑клипов, вредоносные скрипты на страницах торговых платформ
  • Примечание: изменение A‑записи novacrypt.net зафиксировано по состоянию на 25 сентября

Рекомендации для пользователей и организаций

  • Не устанавливайте расширения и приложения из непроверенных источников; предпочитайте официальные магазины и проверенных разработчиков.
  • Откажитесь от установки профильных конфигураций (configuration profiles) без тщательной проверки происхождения.
  • Проверяйте URL и SSL‑сертификаты сайтов перед вводом приватных ключей или учётных данных.
  • Используйте аппаратные кошельки и мультиподпись там, где это возможно; ограничьте хранение средств на онлайн‑обменниках.
  • Активируйте 2FA и, по возможности, используйте отдельные устройства для операций с криптовалютой.
  • Для организаций: мониторьте сетевой трафик на предмет обращения к 8.221.100.222 и указанным доменам, блокируйте их на уровне периметра и инсайд‑SIEM.
  • Сообщайте о подозрительных доменах и страницах соответствующим CERT/командам поддержки платформ и регистрируйте инциденты у провайдеров доменных имён.

Операция подчёркивает изощрённость злоумышленников: они комбинируют социальную инженерию с техническими приёмами и централизованной инфраструктурой, чтобы эффективно обманывать пользователей и одновременно масштабировать мошенничество.

В условиях растущей популярности криптовалют и децентрализованных сервисов пользователям и организациям необходимо сохранять бдительность, строго следовать базовым правилам безопасности и оперативно реагировать на признаки компрометации. Только сочетание внимательности, технической защищённости и своевременного обмена информацией позволит снизить риски потерь из‑за подобных схем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: