Раскрыта сеть мошеннических схем для кражи криптовалюты

Медицинский DAO с криптографическим подтекстом

Одной из наиболее проработанных схем стал сайт medaigenesis[.]cc, маскирующийся под медицинскую блокчейн-инициативу под названием «MedAI Genesis». Платформа позиционирует себя как революцию в персонализированном здравоохранении с использованием искусственного интеллекта и технологии блокчейн. В описании услуги присутствуют модные термины: AI 5.0, биометрические данные в цепи и медицинские NFT.

За глянцевым фасадом скрывается классическая схема обмана. Вместо медицинских услуг сайт запускает всплывающее окно подключения кошелька через браузерное расширение. Цель - под видом активации функций получить доступ к криптовалютным активам пользователей. Мошенники искусно сочетают медицинскую тематику с криптографическими механизмами, создавая правдоподобную легенду.

Ключевым элементом обмана стало копирование CSS из расширения Trust Wallet для Chrome. Злоумышленники воспроизводят стилистику легитимного интерфейса, создавая фишинговый сайт, неотличимый от настоящего окна подключения кошелька. При нажатии кнопки «Connect» происходит не безопасное подключение, а подписание вредоносной транзакции, предоставляющей мошенникам доступ к средствам.

Мобильный фишинг через конфигурационные профили

Другое направление атаки нацелено на владельцев iPhone через распространение вредоносного конфигурационного профиля Apple (.mobileconfig), маскирующегося под торговое приложение Novacrypt. Вместо настоящего приложения жертвы устанавливают WebClip - поддельную иконку приложения, открывающую фишинговый сайт.

Механизм работы заключается в следующем: пользователи получают ссылку на загрузку «приложения» Novacrypt для iOS. При согласии на установку они получают .mobileconfig файл с сайта novacrypt[.]net. После установки профиля на домашнем экране появляется иконка «Novacrypt», при нажатии на которую открывается фишинговая страница входа на домене h5.novacryptmax[.]com.

Профиль включает цифровую подпись с ссылкой на «Let's Encrypt» и домен 360[.]icu, что создает видимость легитимности. Это демонстрирует стремление злоумышленников придать своим схемам видимость официальности и надежности.

Фейковая торговая платформа с вредоносным кодом

Третьим компонентом сети стала поддельная криптовалютная торговая платформа на домене zzztd[.]com. На первый взгляд сайт представляет собой обычное торговое веб-приложение, однако анализ кода выявил подозрительные скрипты.

Исследование файла app.46e5246269e54881.js показало попытки подключения к подозрительному домену anedhaude[.]xyz. Дальнейший анализ выявил, что этот же домен использовался Android-трояном «ioeai.apk», что указывает на связь веб-приложения с известным вредоносным ПО.

Единая инфраструктура множества схем

Расследование установило, что все описанные мошеннические схемы размещались на одном IP-адресе 8.221.100[.]222 - сервере Alibaba Cloud в Азии. Эта инфраструктура обслуживала как минимум восемь доменов, включая medaigenesis[.]cc, novacrypt[.]net, zzztd[.]com и другие.

Большинство доменов были зарегистрированы через одного регистратора - Gname.com Pte. Ltd., что подтверждает их контроль одним злоумышленником или группой. Пассивные DNS-записи указывают на использование этой инфраструктуры с апреля 2025 года, что свидетельствует о продолжительной кампании.

Интересной деталью стала ошибка конфигурации: поддомен web.novacrypt[.]net отображал контент с сайта EWN AI (ewnai[.]com), случайно связав схемы Novacrypt и EWN AI через повторное использование контента.

Преступники демонстрируют разнообразие методов атаки: от создания поддельных расширений браузера до фишинговых мобильных приложений и фейковых торговых платформ. Используемые темы варьируются от AI-стартапов до криптовалютных бирж и электронной коммерции, что указывает на широкомасштабную мошенническую операцию.

Защита от подобных угроз требует сочетания технических мер и здорового скептицизма: избегайте установки браузерных расширений и мобильных профилей из непроверенных источников, тщательно проверяйте URL-адреса и проявляйте осторожность при неожиданных запросах транзакций. Как показывает «криптографическая схема хищения», даже легитимно выглядящее окно может оказаться ловушкой. Всегда проверяйте информацию через официальные каналы и в случае сомнений воздерживайтесь от нажатия кнопок «Connect» или «Install» - это простое действие может определить сохранность ваших активов.

IPv4

• 8.221.100.222

Domains

• admin.zzztd.com
• anedhaude.xyz
• ewnai.com
• googleplay.nova-reviews.com
• h5.novacryptmax.com
• kook1.ewnai.com
• medaigenesis.cc
• n58.bet
• novacrypt.net
• novacryptmax.com
• web.zzztd.com
• yundun.ewnai.com
• zzztd.com

SHA256

• 430a73bc2a01dd1c5c84c5cc8bf0c65b163198a39910d66dc93f23fcea458fbe
• 884cc0b03fbb7f8282916433987ccd8573460d8c2daa33fe1da211a13331b1e7