Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

Организованная киберпреступная группа Traffer Gang наращивает атаки на сотрудников Web3 и владельцев криптовалют

APT

Эксперты по кибербезопасности из Hybrid Analysis выявили масштабную и технически сложную операцию, осуществляемую организованной преступной группировкой (так называемой «traffer gang»). Её жертвами становятся сотрудники компаний в сфере Web3 и владельцы криптовалют. Злоумышленники используют фиктивные компании, продвинутую социальную инженерию и вредоносное программное обеспечение (ПО), маскирующееся под легитимные инструменты. Документированный ущерб от краж криптовалюты уже превышает 2,4 миллиона долларов.

Описание

Кампания демонстрирует высокий уровень профессионализма. Вместо массового спама злоумышленники создают целые экосистемы фальшивых стартапов с детализированными веб-сайтами, аккаунтами в социальных сетях и даже репозиториями на GitHub. Основным вектором атаки стали поддельные приложения, созданные на фреймворке Electron и замаскированные под инструменты для повышения продуктивности, игровые клиенты или программное обеспечение для видеоконференций.

Технический анализ одного из таких приложений, «Opulous Client», показал его истинную природу - это загрузчик вредоносного ПО. После запуска приложение собирает обширную информацию о системе жертвы: IP-адреса, данные об оборудовании (ЦПУ, ОЗУ, видеокарта), установленном антивирусном ПО, а также проверяет, не запущена ли система в виртуальной машине или серверной среде. Все эти данные передаются на управляющий сервер (C2, command-and-control).

Получив информацию, сервер может отдать команду на загрузку и выполнение следующей стадии вредоносной нагрузки (payload). По данным исследователей, это часто становятся специализированные воры информации (stealers), такие как Rhadamanthys или Lumma для Windows и Atomic Stealer для macOS. Эти программы предназначены для кражи файлов, данных браузеров и, что критично, криптовалютных кошельков и сид-фраз.

Инфраструктура группы впечатляет своим размахом. С июля 2024 года было выявлено более 80 доменных имен, связанных с различными кампаниями. Атаки постоянно эволюционируют. Изначально злоумышленники использовали тему AI-инструментов, затем переключились на фальшивые игры и проекты Web3, а к осени 2025 года активно создали сеть сайтов, имитирующих раздачи токенов (airdrop), чтобы эксплуатировать ажиотаж в криптосообществе.

Важным аспектом является установление связей между различными активностями. Исследователи с умеренной уверенностью заявляют о связи между операциями, известными как «Marko Polo» и «Wagmi». Это заключение основано на схожих шаблонах веб-сайтов, параллельной смене тем атак, одновременной регистрации доменов и использовании одинаковых семейств вредоносного ПО. Более того, в коде вредоносных программ обнаружены комментарии на русском языке, что может указывать на языковую принадлежность угрозы.

Группа демонстрирует высокую адаптивность. Для придания легитимности они создают фиктивные структуры с десятками «сотрудников», публикуют AI-сгенерированные статьи, используют украденные или поддельные сертификаты для подписи вредоносных файлов. Доступ к вредоносным загрузчикам часто ограничивается инвайт-кодами, распространяемыми в закрытых Telegram-каналах, что затрудняет анализ для исследователей безопасности.

Эта кампания наглядно иллюстрирует современные тенденции в киберпреступности, ориентированной на криптовалюты. Угроза переместилась от примитивного фишинга к созданию долгосрочных, тщательно продуманных легенд, рассчитанных на технически подкованных пользователей. Эксперты рекомендуют проявлять повышенную осторожность при загрузке программного обеспечения, особенно из непроверенных источников, связанных с криптотематикой, и всегда проверять подлинность сайтов и предложений, какими бы заманчивыми они ни казались.

Индикаторы компрометации

Domains

  • 1inhc.com
  • addonsystem.com
  • aster-dex.eu
  • asterdex-drop.eu
  • asterdrop.digital
  • asterdrop.run
  • beesy.app
  • blurbox.xyz
  • claim.arbdogeai.xyz
  • cnfreund.com
  • coinkbase.com
  • cryptalix.ai
  • defillama.pro
  • delgone.space
  • dexis.app
  • dexis.io
  • dloutstanding.com
  • flowus.app
  • flow-us.com
  • flowus.com.co
  • flowus.io
  • flowus.org
  • flowus.tech
  • flowus.world
  • fluencedrop.digital
  • fluencedrop.eu
  • hojosy.com
  • itmab.com
  • jandi.ai
  • kkkkkk.digital
  • klast.ai
  • lapeai.app
  • lapeai.io
  • laxminarayanfinancepvtltd.com
  • macattic.com
  • metamask987.com
  • metatoy.ai
  • metatoy.io
  • meteoradrop.com
  • news18bangla.in
  • nexbee.ai
  • nexbee.app
  • nexloop.cc
  • nexloop.me
  • nexloop.xyz
  • nexoracore.org
  • nexvoo.app
  • nexvoo.net
  • nexvoo.us
  • opulousai.com
  • opulousapp.com
  • opulous-app.live
  • opulousapp.org
  • pancakescwap.finance
  • pancakeswap.network
  • pelletibor.com
  • playspheria.xyz
  • primalverse.io
  • scoil.ai
  • scoil.cc
  • shedegei.com
  • shperia.app
  • slaxai.app
  • solus.run
  • solus.today
  • solus-app.digital
  • speeka.ai
  • speeka.app
  • spheriagames.xyz
  • streamyard.ai
  • streamyard.app
  • streamyard.life
  • streamyard.studio
  • streamyard.t.com
  • streamyard.zone
  • sumachpress.com
  • sunperp.icu
  • swox.ai
  • swox.cc
  • swox.us
  • swoxapp.com
  • talkon.app
  • talkon.cc
  • talkonai.app
  • talkonai.io
  • texdezyn.com
  • tmcxchem.com
  • trouveur.com
  • vixcall.com
  • vixcall.io
  • vixcall.live
  • vixcallai.io
  • vocalink.live
  • woaihuanbao.com
  • yonda.tech
  • yonda.us
  • yovox.space
  • yovox.world
  • yovox.xyz
  • zynce.org

SHA256

  • 0d7191500b429e6d258dc09807e52b59dd739c6636ce01ae945caf3170d49325
  • 0e1dcb37220190d6bf0923da49fb0cbb5575e15f6d6bfa465dfe0facb5405f52
  • 1450b45187c0f485fad45496717be8e45dec1d4f619ee4294febeeb1d01fd66c
  • 1650500d5d6bb35c81f8eaf1cf144774822e854e39e749172b69ddf781b802d1
  • 19af43c086ffd982b76b2a9d687057a278c1c0aa712d3816f5b913aee4d6a1cc
  • 1f5823734e47720858f9d49060cde39c3a7313d99198c65dca70d67b2b1eff0c
  • 20d0339a9ec51028c1cd28065e83f8aa9e74c0ff95041ae306d786b22282d5e6
  • 237ad929dcf3a0af15d25a0d4c79e563caddc7d0864ab1801dcaa18ca60bf06a
  • 2456565ce958e46bc919a83236fe78afaa04d2001e052d105ddf6163662efb77
  • 2625199238ecc4c980f9bf2072ccf9bbe2b643e732a807d1750f3700d3e1a087
  • 2aea8a0c9008ee45b35ca6df79a987f22fdc869c539a0770daa986fafa68bb0e
  • 2da1ef66fe4a06954b0f4cabcf8aff063bdf3ab5dc885ec5d4824e5917b7b315
  • 31373f9fa6608dc5f5ebeae69ef28d819e52d0d13d5e83ca84e7326bf627a220
  • 33c12dad258263b2c2e35b503892fd242726beaff5ff83ad49d990c8e1d00205
  • 367a9e988aa72e96a38c026c41ed595f8b60db22487c7ce62dd434c68279754e
  • 382781e889eaf60d150f2d5b838c36d5b46eb517395ce9dd7c84e5e32e2dcbd1
  • 39cf49ea66350706cb9fb8927c24b20bcb175574248bc9fefdb6475628af47c4
  • 3a21e48a711ee1ad6ebe8a291d0289a7b12414f74bb5839f12a83736aa1c34de
  • 4190e1a35960c3a6df633cec467ac6243917a626f1bb27da8619d3f3cad6996a
  • 469734a8acf5f8adf7869abaf1958ba12373aa4434a9aae7b4232e497ba845a2
  • 490b38eba85b6e32ddf95b9c51d6284ba3730bf640e0a13f1d52b435d262493b
  • 4e7559d17bf416dafb08bd5867169a9eb4457505fc696b352f4950726029b80e
  • 56db138c5104db75c6f4231a787d600e20a8baf40f0ee6439736e8ea3f0dd008
  • 602ef7a402596575d3b4157c70f677cfb5db795165fb2e5b5af12d2d69bde77f
  • 66ea34eb0a6e41dcb21620a1dc6c3c224e99c8fa7831d7fbd3cf187b97bc54c0
  • 6b4af4590b3c4da860428c8b6aaacecb9f5340d7b6afa30f1cd726654e3af381
  • 73108dfaa8a0753f8cfabccad0e3e449f7691e8a11c81a30995cce517175ea4c
  • 74723f21739f2245b40e9c5152259a12c442c094ddc4066f81d396abeef24769
  • 76440e548a502da8f54bcb97f9804df7bbea02272782abca870b4ba72259d1c2
  • 78af2a44ac04dd59a7082e56d893bcb756f362ae03a9e00b2c8c0ffd000cce56
  • 7949cd61121371c8e7c142206f3759c8d4728ec95d1fa61ccdd593793357c31c
  • 7c5583fff213bd93237b110c274a7ceb8063dd7ee1d0b4fd38351e2975be5cee
  • 7cf9bdc16fa6c7b650ecc6c064dc0fe051af753872f274d5868226323e1c7e2d
  • 8453e51c613da106911e10a5181a670c59c4f314c44717f283d2796ae7187b17
  • 875c1a2a1971d3f406c77195f9643a26514047e0d403b49d1a6345e2826f83ee
  • 96dae56157c83592173bb690733271e45fcf35dfa83c63e7c7583eada041da45
  • 97e710dceb55e68455f8bfb3247415d0b42c936b2205d56c10dc26621790a4f1
  • 9899780232af2aeb82caa8d3d73f9209477256669b1c77f8434d975707804d5f
  • 99f346bb7d3fc6c9f7148c20a9b7d76687ab52233f627252bab524d0b5c0d124
  • 9bc667f5c068227368178267eff7c6a65e406dd02186856e76221a2d25057e17
  • 9f093863c2a17ecd3ff9dcb3243008de5feb3adc1a6e5db281b06c4612d27f91
  • 9f4c3fd8f5cf10b9cfb2eae6f3c49f29f713d5224825cb14d96670e6f6245026
  • 9f7e82e850b448cf8525b5031c49737ead7b14740f8d9780e1516886d8a7696d
  • a3f8c8669f6355884030919fbdb2c164589428fdecf1188694633f6ea68946b2
  • a65ce6aee2140e44ccb35e2e61a6f56f62745bb4ec47395ce5aefc5e6fac4f10
  • ae51a24354d6c863a25bbf9b45cf50db2a514ffc2714d551ed8639b52530e50b
  • ae9b40767de258feaac87186168e070cbc5af1120723bf1ef5068a534a7e0350
  • af8fb1eb39c43742df7a42b5722f3760ad8d50b98229cbbef0d1c78bbd2f74b6
  • b4b950df9574b5fe83d3d10058422d944c3887a269ce64074b88f87ada78c84c
  • b558723fb69c3519bfc67bd2a3d9b43f7e0942422f92e6ebf307137ac800b323
  • c18e1ffc26dd255f8539d241560177a4a088980b12c6c70fef4a43e35c0b80f6
  • c60f79c9fd9432f493256c8c5aa794dd141f9480c3d4fe187e4c48ceaf79088f
  • cd03e9300bb9b923e4af97cde2b2b896272d803b74e42c6234f57610788053b9
  • d6080024e295c3dedaf15f9d30c159ea2d5fc49ab4d16a1462669fb03824a4ab
  • d8372c2a47d09ebd914aed0c3c8c24a7f64d514c7acc199e47e5c1c0b5012849
  • d8d3b736e8acd28e227c07f533e4be70a085c9cd22858b0816b1aa968c302db9
  • dce96f220fca15e105160d35cddb9022207da667c22a6607ea1f3249b0653287
  • e23c189a2a8e4b23ad165f878fa1416491313cdae5aa746485eb8e6982064dca
  • e643b9c1050e152e9729d0765e0be588c6383a50ecd4edb8bd7a7322f1d27a2e
  • e7c279525833df14dee323e66902672d10db8129a3361bbbdcbbb8f0a3331262
  • e98c9a8116f1264b96eeec6dbf88ee158678e73bbfd9588f903ba57380e52283
  • ec8cdf1f2a0d43aa9a3cade5a3a1f6aaa5cd3f3c61cd442b31f523a066c6d286
  • f3150607a5969442f7bdbc546357273fab290bfb9b5b50349e8b6a57e678c85a
  • f46efe00b3a4276ec32460d49073225d9001af29e54ff5d10b10120cc365a669
  • f4789d5904f3cb214e03d5978b41a989a51e2833856c8079a6adab50031ec2c0
  • faf1f944a96e112ed2eff1bf1d5154ba25f8793feedec46eaffbedb95ac95149
  • fbb2e77ec1bdd7de4fb18d203a194f66daf77a98a9fa73e0face2f8e5c210b36
  • ffe6f590b2317b800ac1174e64a09d95bb6e3453f84ae1b321679647584abd5c
Комментарии: 0
Похожие записи
0
05.11.2025
Индикаторы компрометации

Киберпреступники атакуют корпоративные сети через уязвимости в SharePoint с помощью нового Warlock ransomware

ransomware
Эксперты по кибербезопасности обнаружили новую вредоносную программу-вымогатель Warlock, которая распространяется через цепочку уязвимостей в платформе SharePoint.
0
25.07.2025
Индикаторы компрометации

Новый усовершенствованный стилер SHUYAL крадет данные из 19 популярных браузеров

Stealer
В последние дни специалисты по кибербезопасности обнаружили новый опасный стилер под названием SHUYAL, способный извлекать учетные данные из 19 различных веб-браузеров, включая Chrome, Brave, Edge, Opera, Yandex, Tor и другие.
0
11.11.2025
Индикаторы компрометации

Новый двухэтапный вредоносный дуэт LeakyInjector и LeakyStealer охотится за криптовалютами и историей браузера

Stealer
Аналитики компании Hybrid Analysis обнаружили новое двухэтапное вредоносное программное обеспечение, получившее названия LeakyInjector и LeakyStealer. Этот тандем выполняет разведку на зараженном компьютере
0
08.12.2025
Индикаторы компрометации

Индикаторы компрометации ботнета Mirai (обновление за 08.12.2025)

mirai
Ботнет Mirai Internet of Things (IoT), печально известный своими атаками на подключенные бытовые устройства, такие как камеры, системы сигнализации и персональные маршрутизаторы, продолжает развиваться