Злоумышленники развернули масштабную кампанию по продвижению и распространению вредоносного ПО, нацеленного на криптовалютных трейдеров, геймеров азартных игр и всех, кто ищет лёгкой прибыли. Основой операции стал Rust‑клиппер для Windows и macOS, скрытый под видом "снайперских ботов" для Solana и Pump.fun, а также "предсказателей" результатов игр-крашей. Техника социальной инженерии вышла далеко за рамки обычных фишинговых страниц - атакующие системно искажают данные о популярности и безопасности своих инструментов на нескольких платформах, включая VirusTotal.
Описание
Главной приманкой служит сайт на WordPress, который рекламирует автоматизированные решения для покупки мемкоинов и взлома игрового алгоритма. Ссылки на него распространяются через криптофорумы, Telegram-каналы и социальные сети. С площадки пользователь попадает на страницы GitHub и SourceForge, где размещены архивы с исполняемыми файлами. Здесь вступает в действие первый слой обмана: репозитории получают сотни звёзд и форков, а проекты на SourceForge - десятки тысяч скачиваний. Однако подавляющее большинство этих взаимодействий, как показал анализ исследователей Check Point, сгенерировано ботами и поддельными аккаунтами.
Создатели кампании используют сразу несколько "сетей-призраков" на разных ресурсах. На GitHub зафиксировано не менее шести аккаунтов, которые связаны между собой и активно ставят друг другу звёзды. На SourceForge большинство загрузок (более 37 тысяч из 44,5 тысяч) приходят с Android-устройств - хотя под статьёй доступны только сборки для Windows и macOS. Это указывает на использование ферм смартфонов для накрутки статистики.
Отдельное внимание уделено YouTube. Канал злоумышленника публикует видео, где AI-голос за кадром демонстрирует работу "инструментов". Просмотры на этих роликах имеют характерные неестественные скачки, а под видео преобладают восторженные комментарии - очевидно, также от ботов. Часть старых видео ориентирована на русскоязычную аудиторию, но новые выходят на английском, расширяя охват. Контактные данные на странице канала совпадают с теми, что указаны на фишинговом сайте: Telegram-аккаунт @JoseCmanXD.
Самый изощрённый приём - манипуляция репутацией на VirusTotal. Некоторые образцы вредоносных файлов, загруженные с фишингового сайта, получают голоса "безопасно" и положительные комментарии от сообщества. Это делается вручную или с помощью контролируемых аккаунтов. Хотя низкая детектируемость антивирусами не вызвана этими оценками, сочетание низкого уровня обнаружения и внешне положительных отзывов создаёт иллюзию безвредности. Репутационные системы, основанные на краудсорсинге, могут начать доверять таким файлам, что ещё больше снижает шансы защиты.
Техническая реализация клиппера проста, но эффективна. Исполняемый файл для Windows написан на Rust. Он закрепляется в системе копированием в %APPDATA%\\silke\\silke.exe и созданием ярлыка в автозагрузке. Затем программа запускает фоновый мониторинг буфера обмена с помощью Windows API. Каждый раз, когда пользователь копирует текст, клиппер проверяет его на соответствие регулярным выражениям криптовалютных адресов. Если совпадение найдено, текст заменяется на адрес из внутреннего списка, содержащего более 15 500 кошельков. Большая часть (около 15 тысяч) - разные форматы Bitcoin, ещё 500 - Ethereum, а остальные - Litecoin, Monero, Dogecoin, Cardano, Tron, XRP и другие. Злоумышленник часто меняет используемые адреса, заменяя их на новые после совершения транзакции.
Версия для macOS устроена аналогично. Пользователю предлагают скачать ZIP-архив, внутри которого есть инструкция запустить unlocker.command. Этот скрипт снимает карантинную атрибуцию Gatekeeper с помощью xattr -cr и запускает приложение. После запуска исполняется Rust-клиппер, который устанавливает через LaunchAgent постоянную фоновую задачу. Внутри бинарника прописан один адрес на каждую криптовалюту, а также более широкий набор монет, включая Solana, BNB, Zcash. Процесс поддержки персистентности самовосстанавливается: 30-секундный watchdog перезаписывает файлы агента и копирует себя, если их удалить без остановки процесса.
Помимо перечисленных платформ, злоумышленник использует и классические методы продвижения. На форуме BitcoinTalk размещена рекламная ветка с тем же Telegram-контактом. Найдены следы активности на хакерском форуме ещё с 2019 года, где в 2022 году тот же пользователь выкладывал тему "BLACKHAT | Bitcoin Stealer | Advanced Builder". Дополнительно несколько новостных сайтов опубликовали статьи, рекламирующие эти инструменты. Большинство из них вышли 27 апреля 2026 года - в один день, что говорит о координации. К моменту обнаружения часть этих постов была удалена, но остались кеши в поисковой выдаче.
Эта кампания демонстрирует эволюцию атак с использованием социальной инженерии. Злоумышленники больше не полагаются только на технические уязвимости или фишинг. Они активно искажают сигналы доверия на популярных платформах: завышают рейтинги, генерируют фальшивые отзывы и даже манипулируют репутацией на VirusTotal. Такой подход снижает бдительность жертвы, поскольку, прежде чем запустить программу, пользователь видит множество положительных оценок и "безопасных" меток. По той же схеме могут распространяться и другие виды вредоносного ПО - стилеры данных, бэкдоры и даже программы-вымогатели. Для бизнеса это означает необходимость пересматривать политики доверия к внешним репутационным источникам и усиливать контроль за установкой неофициального ПО сотрудниками.
Индикаторы компрометации
SHA256
- 33c86ecfc324de3af97150bd009aba7925a6ba7a0842e127e94cf351013c0fe6
- 5518942d9d21794aaeff41a01b88606a96659fc329b481a2f0946d8163ab4d61
- 6f12c066a929c96104796c4ecca938754962009ebd9e4ba5329bb940bf331d0a
- 7a7ad4ae347a3f99f3773a113d9f70ecfa967100c96e8275bd1df833caee68d1
- 7a9632bbecc31d02fdd0eab07e2424b3e1c9e9a3f91aac4ef6f708f2befbaa3d
- 9c566db1ef9d08ee389d2b8cc1c50c65870096130c8bd2cf41ea14c4075e94c0
- a91c09e0eea610dbe5879798f9cf12e3ce51e4e6f0893278bcdf3ebe22c4730b
- b71efdebd0ca3563e67edb7ad59358a6b8f013b219ad65033efcf48fd1c86619
- bad8625087a7b9453c70933c0db32518ff5818e3d83f3a9e78d432a22b383edb
- c1435847b0c437f91efb07a3a35e4468036322d7acf4ba9e6d363cec0b481241
- e02e60a23297692637b43ebcd7dbeb63af1e9680c551586a1ce935218e0034be
- ef9a915c8e1d484e52b3287c94a58ecd22c07391a87f9c136eabd8397ed01ca2
- f737e99177cc05037ff34cf6e245dd56377dc3db4e2bb46edcf039df650939d6
- fb8294b12f904dff2ac79b51872be7bf09ab422cde223caaf4762eadf7e0760d