Специалисты по кибербезопасности раскрыли операцию по хищению криптовалюты через вредоносную программу-перехватчик буфера обмена

В отличие от традиционных сборщиков информации, эта вредоносная программа использует целенаправленный подход. Она постоянно отслеживает буфер обмена Windows на наличие адресов криптовалютных кошельков и в реальном времени подменяет их на адреса, контролируемые злоумышленником, в момент, когда пользователь пытается вставить адрес для перевода средств.

Основным вектором атаки стала эксплуатация доверительных отношений внутри сообществ Discord, посвященных играм, азартным играм и стримингу криптовалют. Распространение происходит через прямую социальную инженерию, когда злоумышленник в течение длительного времени выстраивает отношения с потенциальными жертвами, особенно с криптовалютными стримерами и инфлюенсерами, прежде чем представить вредоносную нагрузку (payload) как «инструмент безопасности» или «утилиту для стриминга».

Технический анализ показал, что вредоносная программа демонстрирует средний уровень сложности. Она упакована в исполняемый файл PyInstaller, содержащий обфусцированный байт-код Python, использует регулярные выражения в кодировке base64 для обнаружения адресов кошельков и реализует базовый механизм постоянства (persistence) через ключи автозапуска в реестре Windows. Узкая операционная направленность программы, фокусирующаяся только на мониторинге буфера обмена без сетевого взаимодействия, позволяет ей оставаться малозаметной для систем обнаружения.

Анализ каналов распространения выявил целенаправленный выбор демографических групп: криптовалютные стримеры, сообщества казино и пользователи, часто совершающие транзакции с цифровыми активами в прямом эфире. Исследование блокчейна показало, что встроенные в вредоносную программу адреса кошельков злоумышленника использовались для успешного хищения средств у нескольких жертв. Актер поддерживает отдельные кошельки для шести основных криптовалют, включая Bitcoin и Ethereum, что указывает на диверсифицированную операцию, рассчитанную на перехват транзакций в различных сетях.

Оперативная разведка была собрана в середине декабря 2025 года. Специалисты CloudSEK установили контакт с лицом, выдававшим себя за аффилиата «RedLine Solutions» в сообществах Discord. Актер распространял вредоносный файл «Pro.exe» через Telegram, представляя его как инструмент защиты буфера обмена для стримеров, и предоставил список целевых Discord-серверов, посвященных играм, азартным играм и стримингу. Картирование сообществ выявило восемь основных Discord-серверов, на которые нацелен злоумышленник, включая платформы для криптостриминга и азартных игр, где пользователи часто совершают транзакции.

Псевдоним угрозы - RedLineCyber, а его операционный образ - RedLine Solutions, что является ложным флагом. Активность фиксируется как минимум с октября 2025 года. Модель монетизации включает прямое хищение криптовалюты и продажу учетных данных. Корреляция данных открытых источников (OSINT) показала, что этот же актер ранее рекламировал украденные учетные данные LinkedIn на маркетплейсе BreachStars. Выбор имитации известного семейства вредоносного ПО служит стратегическим целям: создание мгновенного доверия, запутывание анализа и снижение подозрений у технически подкованных целей. Однако технический анализ подтвердил, что эта программа не является вариантом настоящего RedLine Stealer, который написан на C# и имеет более широкий функционал.

Технический анализ образца с хэшем SHA-256 0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6 показал, что это файл размером около 7,8 МБ, упакованный с помощью PyInstaller для Python 3.13. Распаковка и декомпиляция выявили основной модуль с логикой перехвата. При запуске вредоносная программа создает директорию в %APPDATA%, прописывает себя в автозагрузку реестра Windows и начинает непрерывный мониторинг буфера обмена с интервалом в 300 миллисекунд.

Программа использует набор регулярных выражений для обнаружения адресов шести криптовалют. При обнаружении адреса она заменяет его в буфере обмена на адрес злоумышленника и логирует действие в файл. Ключевой особенностью является отсутствие сетевого взаимодействия, что минимизирует ее обнаружение сетевыми системами IDS/IPS. Кроме того, программа работает без графического интерфейса, потребляет минимум ресурсов и активируется только в узком временном окне между копированием и вставкой адреса, что делает ручное обнаружение крайне сложным. Стратегия ложного брендинга под известный RedLine Stealer может привести к неправильной классификации угрозы и применению неэффективных правил обнаружения в SOC.

SHA256

• 0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6
• d011068781cfba0955258505dbe7e5c7d3d0b955e7f7640d2f1019d425278087