Новая волна вредоносных программ для криптовалют захлестнула мир цифровых активов, и на этот раз действующие лица стали мудрее и разностороннее, чем когда-либо. В авангарде новой волны находятся Librarian Ghouls, ориентированная на Россию продвинутая группа по борьбе с постоянными (APT) угрозами, и Crocodilus, кроссплатформенный стилер с корнями в банковских троянах Android.
«Последняя кампания библиотечных призраков использует легитимное программное обеспечение, такое как AnyDesk, чтобы скрыть криптомайнеров и программы для записи нажатий клавиш. Как только они попадают внутрь, они молчаливы — до полуночи.»
— Kaspersky Threat Intelligence (June 9, 2025)
Библиотекари-Гули: «Легитимные» вредоносные программы
Эта группа APT маскирует атаки под рутинные документы (, например, платежные поручения ) в фишинговых электронных письмах. После открытия их вредоносные программы:
Устанавливает 4t Tray Minimizer, чтобы скрыть вредоносные программы.
Разворачивает AnyDesk для удаленного доступа и XMRig для майнинга Monero.
Украдет учетные данные криптокошелька и ключи реестра.
Новое в 2025 году: Активация в полночь — вредоносные программы работают только ночью, чтобы избежать обнаружения.
Их атака — это не просто ограбление грубой силой — скорее, они сочетают технический опыт с психологическим принуждением, нанося удары на каждом этапе криптоцикла.
Библиотечные упыри также оптимизировали свой загрузчик, чтобы он маскировался под законные бизнес-приложения, часто внедряя вредоносное ПО в то, что кажется безобидными документами, такими как платежные поручения или счета. Когда жертва затем выполняет файл, установщики вредоносного ПО незаметно устанавливают такие программы, как 4t Tray Minimizer, чтобы замести следы, и AnyDesk для удаленного управления.
Но что действительно уникально в этой группе, так это то, что они используют триггеры, основанные на времени: вредоносные программы активируются только ночью, что снижает вероятность их обнаружения командами безопасности в рабочие часы. Это происходит благодаря ночной стратегии, которая позволяет им похищать учетные данные кошельков, майнить Monero с помощью XMRig и выкачивать конфиденциальные данные незамеченными.
Жертвы могут даже не осознать, что что-то не так, пока не пройдет несколько недель, когда их кошельки обычно уже опустошены, а их системы скомпрометированы до такой степени, что простое восстановление невозможно.
Crocodilus: Коллектор семенных фраз
Изначально турецкий банковский троян, Crocodilus теперь нацеливается на пользователей криптовалюты по всему миру:
Поддельные приложения, маскирующиеся под Coinbase, MetaMask или инструменты для майнинга.
Автоматизированные сборщики семенных фраз, которые сканируют устройства на наличие данных кошелька.
Социальная инженерия через поддельные "Банк Поддержка" контакты в вашем телефоне.
«Новый парсер Crocodilus извлекает сид-фразы с хирургической точностью. Один клик на фальшивую ссылку X, и ваш кошелек пропал.»
— Команда ThreatFabric MTI ( 3 июня 2025 )
Крокодил, с другой стороны, быстро превратился из региональной угрозы в глобальную. Больше не ограничиваясь Android, теперь он нацелен на вредоносные расширения браузера, клоны настольных приложений и даже ботов Telegram, чтобы распространить свое влияние. Самой смертоносной особенностью вредоносного ПО является его способность красть seed-фразы из данных буфера обмена, скриншотов и данных автозаполнения, иногда даже до того, как жертва даже узнает о том, что она стала мишенью.
Угрожающие лица начали предлагать доступ к скомпрометированным кошелькам на продажу на форумах даркнета, создавая процветающий черный рынок для похищенных цифровых активов, который растет в размере и сложности. Порой Crocodilus даже спамит невинные "службы поддержки" на телефоны жертв, обманывая пользователей, чтобы они предоставили конфиденциальную информацию под видом технической поддержки.
Ложные ссылки X: Теперь с глубокими подделками в реальном времени
QR-коды ссылающиеся на смарт-контракты, истощающие кошельки.
Чаты поддержки с глубокими подделками ИИ, которые имитируют настоящих агентов.
Реальный пример: В мае 2025 года в прямом эфире с "Элоном Маском" на глубоком фейке зрителей призвали отсканировать QR-код для розыгрыша "TeslaCoin". Жертвы потеряли более 200 тысяч долларов за 30 минут.
Одной из самых угрожающих тенденций является развитие поддержки чатов с глубокими фейками в реальном времени. Хакеры используют аватары с ИИ, чтобы выдавать себя за известные бренды или влиятельных лиц в X (Twitter), предлагая аутентичную, интерактивную "помощь", которая заманивает жертв делиться своей семенной фразой или приватным ключом.
Глубокие фейки настолько убедительны, что даже опытные пользователи криптовалют были вовлечены в них, причем аватары имитируют голос, тон и даже язык тела признанных фигур в сообществе.
В одном из самых известных случаев, в прямом эфире "Элона Маска" на X был рекламирован ложный розыгрыш TeslaCoin, что привело к убыткам в сотни тысяч долларов всего за несколько минут.
Советы по OPSEC: Как оставаться в безопасности
Из руководства Quillaudits 2025:
| Действие | Почему это важно |
| --- | --- |
| Используйте выделенное устройство | Изолируйте криптоактивность от повседневного просмотра |
| Отменить одобрения | Вредоносные программы не могут опустошить кошельки, которые вы заблокировали |
| Избегайте общественного Wi-Fi | Crocodilus процветает в незащищенных сетях |
| Проверьте X ссылки в оффлайне | Мошенничество с дипфейками исчезает при перекрестной проверке |
Для защиты от таких угроз пользователям необходимо использовать многоуровневый подход к OPSEC. Эксперты рекомендуют использовать аппаратные кошельки для высокозначительных инвестиций, включать двухфакторную аутентификацию и никогда не делиться семенными фразами — даже с предполагаемыми сотрудниками поддержки или легитимными социальными аккаунтами.
Регулярные проверки одобрения кошелька, обновление программного обеспечения и разделение криптовалютных операций на устройства одноразового использования также могут снизить риск. Поскольку злоумышленники становятся все более инновационными и изобретательными, лучшая защита — оставаться хорошо образованным и быть адекватно скептичным.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Можете ли вы доверять, что ваш Крипто в безопасности, пока вы спите?
Новая волна вредоносных программ для криптовалют захлестнула мир цифровых активов, и на этот раз действующие лица стали мудрее и разностороннее, чем когда-либо. В авангарде новой волны находятся Librarian Ghouls, ориентированная на Россию продвинутая группа по борьбе с постоянными (APT) угрозами, и Crocodilus, кроссплатформенный стилер с корнями в банковских троянах Android.
Библиотекари-Гули: «Легитимные» вредоносные программы
Эта группа APT маскирует атаки под рутинные документы (, например, платежные поручения ) в фишинговых электронных письмах. После открытия их вредоносные программы:
Новое в 2025 году: Активация в полночь — вредоносные программы работают только ночью, чтобы избежать обнаружения.
Их атака — это не просто ограбление грубой силой — скорее, они сочетают технический опыт с психологическим принуждением, нанося удары на каждом этапе криптоцикла.
Библиотечные упыри также оптимизировали свой загрузчик, чтобы он маскировался под законные бизнес-приложения, часто внедряя вредоносное ПО в то, что кажется безобидными документами, такими как платежные поручения или счета. Когда жертва затем выполняет файл, установщики вредоносного ПО незаметно устанавливают такие программы, как 4t Tray Minimizer, чтобы замести следы, и AnyDesk для удаленного управления.
Но что действительно уникально в этой группе, так это то, что они используют триггеры, основанные на времени: вредоносные программы активируются только ночью, что снижает вероятность их обнаружения командами безопасности в рабочие часы. Это происходит благодаря ночной стратегии, которая позволяет им похищать учетные данные кошельков, майнить Monero с помощью XMRig и выкачивать конфиденциальные данные незамеченными.
Жертвы могут даже не осознать, что что-то не так, пока не пройдет несколько недель, когда их кошельки обычно уже опустошены, а их системы скомпрометированы до такой степени, что простое восстановление невозможно.
Crocodilus: Коллектор семенных фраз
Изначально турецкий банковский троян, Crocodilus теперь нацеливается на пользователей криптовалюты по всему миру:
Крокодил, с другой стороны, быстро превратился из региональной угрозы в глобальную. Больше не ограничиваясь Android, теперь он нацелен на вредоносные расширения браузера, клоны настольных приложений и даже ботов Telegram, чтобы распространить свое влияние. Самой смертоносной особенностью вредоносного ПО является его способность красть seed-фразы из данных буфера обмена, скриншотов и данных автозаполнения, иногда даже до того, как жертва даже узнает о том, что она стала мишенью.
Угрожающие лица начали предлагать доступ к скомпрометированным кошелькам на продажу на форумах даркнета, создавая процветающий черный рынок для похищенных цифровых активов, который растет в размере и сложности. Порой Crocodilus даже спамит невинные "службы поддержки" на телефоны жертв, обманывая пользователей, чтобы они предоставили конфиденциальную информацию под видом технической поддержки.
Ложные ссылки X: Теперь с глубокими подделками в реальном времени
Хакеры используют X (Twitter) с:
Реальный пример: В мае 2025 года в прямом эфире с "Элоном Маском" на глубоком фейке зрителей призвали отсканировать QR-код для розыгрыша "TeslaCoin". Жертвы потеряли более 200 тысяч долларов за 30 минут.
Одной из самых угрожающих тенденций является развитие поддержки чатов с глубокими фейками в реальном времени. Хакеры используют аватары с ИИ, чтобы выдавать себя за известные бренды или влиятельных лиц в X (Twitter), предлагая аутентичную, интерактивную "помощь", которая заманивает жертв делиться своей семенной фразой или приватным ключом.
Глубокие фейки настолько убедительны, что даже опытные пользователи криптовалют были вовлечены в них, причем аватары имитируют голос, тон и даже язык тела признанных фигур в сообществе.
В одном из самых известных случаев, в прямом эфире "Элона Маска" на X был рекламирован ложный розыгрыш TeslaCoin, что привело к убыткам в сотни тысяч долларов всего за несколько минут.
Советы по OPSEC: Как оставаться в безопасности
Из руководства Quillaudits 2025:
| Действие | Почему это важно | | --- | --- | | Используйте выделенное устройство | Изолируйте криптоактивность от повседневного просмотра | | Отменить одобрения | Вредоносные программы не могут опустошить кошельки, которые вы заблокировали | | Избегайте общественного Wi-Fi | Crocodilus процветает в незащищенных сетях | | Проверьте X ссылки в оффлайне | Мошенничество с дипфейками исчезает при перекрестной проверке |
Для защиты от таких угроз пользователям необходимо использовать многоуровневый подход к OPSEC. Эксперты рекомендуют использовать аппаратные кошельки для высокозначительных инвестиций, включать двухфакторную аутентификацию и никогда не делиться семенными фразами — даже с предполагаемыми сотрудниками поддержки или легитимными социальными аккаунтами.
Регулярные проверки одобрения кошелька, обновление программного обеспечения и разделение криптовалютных операций на устройства одноразового использования также могут снизить риск. Поскольку злоумышленники становятся все более инновационными и изобретательными, лучшая защита — оставаться хорошо образованным и быть адекватно скептичным.