Киберпреступность и криптоугрозы сливаются: новые гибридные инструменты стирают грани между Web2 и Web3

Особую тревогу вызывает стремительное развитие целой индустрии так называемых дренажеров - инструментов для автоматического опустошения криптокошельков. Современные дренажеры превратились из примитивных JavaScript-скриптов в полностью автоматизированные и отказоустойчивые системы, способные извлекать активы из нескольких блокчейнов при минимальном участии жертвы. Их операционный след меньше, чем у программ-вымогателей, а заметность ниже, чем у многих кампаний по сбору учётных данных, при этом их поддерживает развитый подпольный рынок, предлагающий схемы "дренажер как услуга". Эти факторы значительно снизили порог входа и позволили широкому кругу злоумышленников встраивать функции вывода средств в стандартные цепочки атак. Теперь методы, ранее ассоциировавшиеся в первую очередь с компрометацией Web2, напрямую пересекаются с финансовыми кражами в Web3, формируя смешанную экосистему угроз.

Одним из ярких примеров такой конвергенции стал StepDrainer - многоблокчейновый дренажер, действующий более чем в двадцати сетях, включая Ethereum, BNB, Arbitrum и Polygon. Этот инструмент, используя технику социальной инженерии с применением легитимного сервиса Web3Modal и методов подписи типа Seaport и Permit v2, создаёт убедительные интерфейсы подключения кошельков. Жертве показывают поддельные окна подтверждения транзакций с ложными положительными значениями поступления средств, что толкает её на одобрение небезопасных операций. После получения разрешений дренажер автоматически переводит активы на подконтрольные адреса, отдавая приоритет наиболее ценным токенам. Как сообщается в отчёте аналитиков LevelBlue SpiderLabs, StepDrainer активно использует AI-тематику для придания легитимности: злоумышленники создают страницы, имитирующие популярные AI-ассистенты, такие как OpenClaw, чтобы привлечь доверчивых пользователей.

Вторая угроза, EtherRAT, демонстрирует ещё более глубокий синтез традиционных методов доставки вредоносного ПО и криптовалютного воровства. Это гибридный Windows-имплант, распространяемый через троянизированный установщик TFTP-сервера (Tftpd64). Вредоносная копия, размещённая на поддельном репозитории GitHub, содержит в себе как легитимные компоненты, так и исполняемый код на Node.js, спрятанный в зашифрованных файлах. После установки EtherRAT закрепляется в системе через ключ автозагрузки Windows и запускается незаметно для пользователя, выполняя разведку: собирает информацию о домене, антивирусах, видеокартах и других параметрах. Однако главная особенность EtherRAT - его способность напрямую взаимодействовать с блокчейн-инфраструктурой. В его коде обнаружены несколько RPC-адресов Ethereum, в том числе Flashbots и Tenderly, а также адреса криптокошельков, что позволяет импланту не только служить точкой входа для дальнейших действий, но и потенциально участвовать в краже активов на уровне транзакций.

Оба этих случая иллюстрируют ключевой тренд: атаки на криптовалюты больше не являются узкой нишей. StepDrainer автоматизирует хищение в браузере через фишинговые сайты, маскирующиеся под AI-сервисы, а EtherRAT внедряет блокчейн-логику прямо в классический Windows-троян. При этом оба инструмента используют блокчейн не только как цель, но и как часть собственной инфраструктуры - для хранения конфигураций, маршрутизации трафика или взаимодействия с активами. Это означает, что даже у организаций, не имеющих собственных криптовалютных активов, любой скомпрометированный браузер, расширение или рабочая станция могут стать входной точкой для злоумышленников, которые затем используют её для кражи учётных данных, бокового перемещения или будущих атак. Разработчики программ-дренажеров всё чаще создают многофункциональные наборы, рекламируя поддержку десятков кошельков и блокчейнов, NFT-воровство и обход защитных расширений. Подобная индустриализация делает такие угрозы доступными даже для неопытных киберпреступников.

Для специалистов по информационной безопасности это означает, что старые модели защиты, ориентированные только на Web2-угрозы, уже недостаточны. Дренажеры больше нельзя рассматривать как экзотическую проблему рыночных спекулянтов - они требуют такого же внимания, как и традиционное вредоносное ПО для кражи учётных данных. Организациям необходимо учитывать возможность пересечения фишинговых и блокчейн-атак в своих моделях угроз, усиливать мониторинг использования браузеров и контролировать доступ к подозрительным криптовалютным сервисам. По мере того как граница между Web2-вторжениями и Web3-кражами окончательно растворяется, игнорирование этого тренда может привести к серьёзным финансовым и репутационным потерям даже для тех, кто считает себя "нецелевой аудиторией" криптопреступников.

Domains

• 8kwfaa30jtlnwi.com
• aahdjjsivunugynqjvyfbhqnjekniyfboma.com
• aodefevrgdkhqltdnwgzbyjoywrlbntbhfwq.com
• eth.llamarpc.com
• eth.merkle.io
• ethereum-rpc.publicnode.com
• eth-mainnet.public.blastapi.io
• mainnet.gateway.tenderly.co
• rpc.mevblocker.io
• rpc.payload.de
• wpuadmin.shop

URLs

• http://moonscan.live/7w2NU3Z
• http://scanclaw.live/KjYQnKB
• https://akgleal.vercel[.Japp/app/company/
• https://github.com/tftup/tftpd64/releases/tag/v4.74
• https://matrix-octagonal-927.vercel.app/app/company/
• https://power-921-concrete.vercel.app/app/company/

SHA256

• 3188313f38e2114f5a9524bf812efaa7f70a89cd8ef2907b962cb1466251df70
• 35e01440b9c63f17eb9e70096d2ec01d18309106a0d644db1110950d2d438e59
• 53d232e7a2670a6f010c23ebd60ca8f881d0433eaf28883a79b41ddd09e47d88
• 6c958397294c279dcbe806c1403c229fdb5ca3ffe030d4d8ce1533e9e7810af4
• 73b1d65c05da79b43f5dbddf4736d37b722a8fa6ea649d0ed5089b2bdb2c9e67
• 7fd19c564761e2c8c9b583cf30db810e313417c7d3572f637f8cedf4d2cc1e91
• b3e28c6a4fec257f4cdc63d93c84596c4c0ee67b839c0711e06d771dd5410b96
• ba3512ed46270b9cb037bdc3d0b398fad2d3017d1b866645afb7445b089211fa
• c44d5c888647e78947fc93006d92e5521795ef31f7b0cae1ec829fec60d4bd7a