В мире криптовалют и NFT фишинг давно стал привычной угрозой, однако масштабы и изощрённость новой кампании заставляют специалистов по кибербезопасности говорить о качественном скачке в методах социальной инженерии. Вместо примитивных подделок под страницы аирдропов или официальных сайтов, злоумышленники создали высокодетализированную ловушку, нацеленную на пользователей набирающего популярность проекта Pudgy Penguins. Атака эксплуатирует не только доверие к бренду, но и базовые поведенческие паттерны пользователей, заставляя их вводить пароли и сид-фразы в интерфейсы, которые визуально неотличимы от их собственных криптокошельков.
Описание
Проект Pudgy Penguins, переживающий второе рождение после ребрендинга и выхода на полки крупнейших ретейлеров, запустил 10 марта 2026 года браузерную игру Pudgy World. Игра, требующая подключения криптокошелька для начала, мгновенно привлекла внимание как опытных коллекционеров NFT, так и новой аудитории. Именно этот момент и выбрали мошенники для атаки. Они зарегистрировали домен "pudgypengu-gamegifts[.]live", который не имеет никакого отношения к официальной компании Igloo Inc., стоящей за брендом. Сайт-клон с высокой точностью воспроизводит фирменный стиль, логотип и ледяной фон оригинальной игры, что на фоне всеобщего ажиотажа не оставляет у рядового пользователя поводов для сомнений.
Ключевым элементом атаки стала не просто копия сайта, а глубокая подделка процесса подключения кошелька. При нажатии на кнопку "Connect" открывается попап, стилизованный под библиотеку WalletConnect от Reown, которую использует и настоящий Pudgy World. Пользователю предлагается выбрать один из 11 популярных кошельков, включая MetaMask, Trust Wallet, Coinbase Wallet, Ledger, Trezor, Phantom и другие. Именно на этом этапе атака переходит на новый технический уровень. Выбор программного кошелька не ведёт на внешний сайт, а запускает на странице оверлей, который с пиксельной точностью имитирует экран разблокировки реального браузерного расширения. Этот оверлей появляется ровно в том углу окна браузера, где обычно всплывает нативное окно расширения, что полностью сбивает с толку даже опытных пользователей.
Особого внимания заслуживает подход к аппаратным кошелькам, в частности, к Trezor. Как сообщили эксперты, анализ мошеннического сайта показал, что выбор опции Trezor Wallet запускает диалог, имитирующий интерфейс Trezor Connect. Одновременно с этим браузер, через вызов WebUSB API, отображает настоящий системный запрос на разрешение подключения к USB-устройству. Эта комбинация легитимного системного запроса и поддельного интерфейса создаёт иллюзию полноценного "рукопожатия" с аппаратным устройством. Если же устройство не подключено, сайт отображает сообщение "No compatible devices found", после чего предлагает "альтернативный метод подключения", который с высокой вероятностью ведёт к запросу сид-фразы - мастер-ключа ко всему содержимому кошелька.
Техническая сложность кампании впечатляет. Для её реализации злоумышленникам потребовалось создать одиннадцать различных высококачественных интерфейсных подделок, каждая из которых учитывает визуальный язык конкретного кошелька. Это свидетельствует либо о значительных ресурсах угрозы, либо, что более вероятно, об использовании готового коммерческого фишингового набора (phishing kit), специализированного для такого рода атак. Более того, сайт оснащён сложной системой противодействия анализу. Встроенный обфусцированный JavaScript-загрузчик проверяет, не запущен ли браузер в автоматическом режиме (как в песочницах исследователей) или внутри виртуальной машины. Только убедившись, что на другом конце находится реальный пользователь, сайт запрашивает с сервера злоумышленников основной вредоносный payload. Если же ответ сервера меньше 500 КБ (что типично для ответов систем защиты), загрузчик бездействует. В результате автоматические сканеры могут классифицировать начальную страницу как безопасную.
Последствия успешной атаки очевидны: полная компрометация криптовалютных активов жертвы. В отличие от краж cookie или сессий, получение пароля от расширения или, что ещё хуже, сид-фразы, даёт злоумышленникам прямой и неограниченный доступ ко всем средствам на связанных адресах. Для пользователей, которые могли попасться на удочку, критически важно немедленно сменить пароль в настройках своего кошелька и рассмотреть возможность переноса активов на новый адрес, сид-фраза которого никогда нигде не вводилась. Тем, кто предоставил доступ по WebUSB для Trezor, необходимо отозвать разрешение для домена в настройках браузера. Главное правило, которое нарушает эта атака, остаётся неизменным: веб-сайт физически не может отобразить настоящий экран разблокировки вашего браузерного расширения. Настоящее окно расширения всегда появляется в отдельной панели в самом верху окна браузера, а не внутри содержимого веб-страницы. Любой интерфейс, который просит ввести пароль или сид-фразу внутри страницы, является мошенническим. Растущая популярность Web3-продуктов среди массовой аудитории неизбежно привлекает всё более sophisticated угрозы, где техническая изощрённость встречается с глубоким пониманием психологии пользователя.
Индикаторы компрометации
Domains
- pudgypengu-gamegifts.live
