Нова хвиля криптошкідливого програмного забезпечення захлеснула світ цифрових активів, і цього разу актори розумніші та універсальніші, ніж будь-коли. В авангарді нової хвилі знаходяться Librarian Ghouls, орієнтована на Росію група передових стійких загроз (APT), і Crocodilus, кросплатформний викрадач, коріння якого сягає корінням у банківські трояни Android.
“Остання кампанія бібліотечних привидів використовує легітимне програмне забезпечення, таке як AnyDesk, щоб приховати криптомайнери та шкідливі програми. Як тільки вони потрапляють, вони мовчать — до опівночі.”
— Kaspersky Threat Intelligence (June 9, 2025)
Ліберіанські привиди: "Легітимні" шкідливі програми
Ця група APT маскує атаки під виглядом рутинних документів (, наприклад, платіжних доручень ) у фішингових електронних листах. Після відкриття їхні шкідливі програми:
Встановлює 4t Tray Minimizer для приховування шкідливих програм.
Розгортає AnyDesk для віддаленого доступу та XMRig для видобутку Monero.
Краде облікові дані криптогаманця та ключі реєстру.
Новинка 2025: Активація опівночі — шкідливі програми працюють лише вночі, щоб уникнути виявлення.
Їхня атака не є просто грабежем з застосуванням сили — скоріше, вони об'єднують технічну експертизу з психологічним примусом, завдаючи удару на кожному етапі криптоциклу.
Librarian Ghouls також оптимізували свій завантажувач, щоб маскуватися під законні бізнес-додатки, часто імплантуючи своє шкідливе програмне забезпечення в те, що здається нешкідливими документами, такими як платіжні доручення або рахунки-фактури. Коли жертва потім виконує файл, інсталятори шкідливого програмного забезпечення непомітно встановлюють такі програми, як 4t Tray Minimizer, щоб приховати його сліди, і AnyDesk для віддаленого керування.
Але що найбільш унікально в цій групі, так це те, що вони використовують тригери, засновані на часі: шкідливе програмне забезпечення активується лише вночі, знижуючи шанси на виявлення командами безпеки в робочий час. Він робить це за допомогою нічної стратегії, яка дозволяє йому викрасти облікові дані гаманця, добувати Monero за допомогою XMRig і непомітно викрадати конфіденційні дані.
Жертви можуть навіть не усвідомлювати, що щось не так, до того, як мине кілька тижнів, коли їх гаманці, як правило, вже будуть спустошені, а їх системи скомпрометовані настільки, що просте відновлення буде неможливим.
Crocodilus: Збирач сієвих фраз
Спочатку турецький банківський троян, Crocodilus тепер націлений на глобальних користувачів криптовалюти через:
Фальшиві додатки, які маскуються під Coinbase, MetaMask або інструменти для майнінгу.
Автоматизовані зборщики насіннєвих фраз які сканують пристрої на наявність даних гаманців.
Соціальна інженерія через фейкові "Підтримка банку" контакти у вашому телефоні.
“Новий парсер Crocodilus вилучає сид-фрази з хірургічною точністю. Один клік на підроблене X посилання, і ваш гаманець зник.”
— Команда ThreatFabric MTI ( 3 червня 2025 )
З іншого боку, крокодил швидко перетворився з регіональної загрози на глобальну. Більше не обмежуючись Android, тепер він націлений на шкідливі розширення браузера, клонування настільних додатків і навіть ботів Telegram, щоб поширити своє охоплення. Найбільш смертоносною функцією зловмисного програмного забезпечення є його здатність викрадати початкові фрази з даних буфера обміну, знімків екрана та даних автозаповнення, іноді навіть до того, як жертва дізнається про те, що вона є мішенню.
Зловмисники почали пропонувати доступ до скомпрометованих гаманців на продаж на форумах даркнету, створивши процвітаючий чорний ринок вкрадених криптовалютних активів, який зростає в розмірах і складності. Іноді Crocodilus навіть надсилає невинні номери «підтримки» на телефони жертв, обманом змушуючи користувачів надати конфіденційну інформацію під виглядом технічної підтримки.
Фейкові X посилання: Тепер з реальними глибокими підробками
QR-коди що ведуть до смарт-контрактів, які висмоктують кошти.
Чати підтримки з використанням глибоких фейків на базі ШІ , які імітують реальних агентів.
Реальний приклад: У травні 2025 року, під час трансляції з «Елоном Маском» у вигляді deepfake, глядачів закликали відсканувати QR-код для розіграшу «TeslaCoin». Жертви втратили понад 200 тис. доларів за 30 хвилин.
Однією з найбільш загрозливих тенденцій є розвиток чатів підтримки діпфейків у реальному часі. Хакери використовують аватари, уражені штучним інтелектом, щоб видавати себе за відомі бренди або впливових осіб на X (Twitter), надаючи автентичну інтерактивну «допомогу», яка спонукає жертв поділитися своєю початковою фразою або приватним ключем.
Глибокі фейки настільки переконливі, що навіть досвідчені користувачі криптовалют потрапляють у них, з аватарами, які імітують голос, тон і навіть мову тіла визнаних фігур у спільноті.
В одному з найвідоміших випадків, глибоке підроблення "Ілон Маск" у прямому ефірі на X рекламувало фальшивий розіграш TeslaCoin і призвело до сотень тисяч доларів збитків за кілька хвилин.
Поради з безпеки: Як залишатися в безпеці
З Посібника Quillaudits 2025:
| Дія | Чому це важливо |
| --- | --- |
| Використовуйте окремий пристрій | Ізолюйте криптовалютну діяльність від щоденного серфінгу |
| Відкликати дозволи | Шкідливі програми не можуть висмоктувати кошти з гаманців, які ви заблокували |
| Уникайте публічного Wi-Fi | Crocodilus процвітає на незахищених мережах |
| Перевірте X посилань офлайн | Схеми з глибокими підробками зникають при перехресній перевірці |
Для захисту від таких загроз користувачам доведеться використовувати багаторівневий підхід OPSEC. Експерти рекомендують використовувати апаратні гаманці для високовартісних інвестицій, увімкнути двофакторну автентифікацію та ніколи не ділитися seed-фразами — навіть із передбачуваним персоналом підтримки чи законними соціальними обліковими записами.
Регулярні перевірки схвалення гаманців, підтримка програмного забезпечення в актуальному стані та розділення криптооперацій на одноразові пристрої також можуть зменшити ризик. Оскільки зловмисники стають все більш інноваційними та винахідливими, найкращою обороною є залишатися добре освіченими та бути достатньо скептичними.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Чи можна довіряти, що ваш Крипто в безпеці, поки ви спите?
Нова хвиля криптошкідливого програмного забезпечення захлеснула світ цифрових активів, і цього разу актори розумніші та універсальніші, ніж будь-коли. В авангарді нової хвилі знаходяться Librarian Ghouls, орієнтована на Росію група передових стійких загроз (APT), і Crocodilus, кросплатформний викрадач, коріння якого сягає корінням у банківські трояни Android.
Ліберіанські привиди: "Легітимні" шкідливі програми
Ця група APT маскує атаки під виглядом рутинних документів (, наприклад, платіжних доручень ) у фішингових електронних листах. Після відкриття їхні шкідливі програми:
Новинка 2025: Активація опівночі — шкідливі програми працюють лише вночі, щоб уникнути виявлення.
Їхня атака не є просто грабежем з застосуванням сили — скоріше, вони об'єднують технічну експертизу з психологічним примусом, завдаючи удару на кожному етапі криптоциклу.
Librarian Ghouls також оптимізували свій завантажувач, щоб маскуватися під законні бізнес-додатки, часто імплантуючи своє шкідливе програмне забезпечення в те, що здається нешкідливими документами, такими як платіжні доручення або рахунки-фактури. Коли жертва потім виконує файл, інсталятори шкідливого програмного забезпечення непомітно встановлюють такі програми, як 4t Tray Minimizer, щоб приховати його сліди, і AnyDesk для віддаленого керування.
Але що найбільш унікально в цій групі, так це те, що вони використовують тригери, засновані на часі: шкідливе програмне забезпечення активується лише вночі, знижуючи шанси на виявлення командами безпеки в робочий час. Він робить це за допомогою нічної стратегії, яка дозволяє йому викрасти облікові дані гаманця, добувати Monero за допомогою XMRig і непомітно викрадати конфіденційні дані.
Жертви можуть навіть не усвідомлювати, що щось не так, до того, як мине кілька тижнів, коли їх гаманці, як правило, вже будуть спустошені, а їх системи скомпрометовані настільки, що просте відновлення буде неможливим.
Crocodilus: Збирач сієвих фраз
Спочатку турецький банківський троян, Crocodilus тепер націлений на глобальних користувачів криптовалюти через:
З іншого боку, крокодил швидко перетворився з регіональної загрози на глобальну. Більше не обмежуючись Android, тепер він націлений на шкідливі розширення браузера, клонування настільних додатків і навіть ботів Telegram, щоб поширити своє охоплення. Найбільш смертоносною функцією зловмисного програмного забезпечення є його здатність викрадати початкові фрази з даних буфера обміну, знімків екрана та даних автозаповнення, іноді навіть до того, як жертва дізнається про те, що вона є мішенню.
Зловмисники почали пропонувати доступ до скомпрометованих гаманців на продаж на форумах даркнету, створивши процвітаючий чорний ринок вкрадених криптовалютних активів, який зростає в розмірах і складності. Іноді Crocodilus навіть надсилає невинні номери «підтримки» на телефони жертв, обманом змушуючи користувачів надати конфіденційну інформацію під виглядом технічної підтримки.
Фейкові X посилання: Тепер з реальними глибокими підробками
Зловмисники використовують X (Twitter) з:
Реальний приклад: У травні 2025 року, під час трансляції з «Елоном Маском» у вигляді deepfake, глядачів закликали відсканувати QR-код для розіграшу «TeslaCoin». Жертви втратили понад 200 тис. доларів за 30 хвилин.
Однією з найбільш загрозливих тенденцій є розвиток чатів підтримки діпфейків у реальному часі. Хакери використовують аватари, уражені штучним інтелектом, щоб видавати себе за відомі бренди або впливових осіб на X (Twitter), надаючи автентичну інтерактивну «допомогу», яка спонукає жертв поділитися своєю початковою фразою або приватним ключем.
Глибокі фейки настільки переконливі, що навіть досвідчені користувачі криптовалют потрапляють у них, з аватарами, які імітують голос, тон і навіть мову тіла визнаних фігур у спільноті.
В одному з найвідоміших випадків, глибоке підроблення "Ілон Маск" у прямому ефірі на X рекламувало фальшивий розіграш TeslaCoin і призвело до сотень тисяч доларів збитків за кілька хвилин.
Поради з безпеки: Як залишатися в безпеці
З Посібника Quillaudits 2025:
| Дія | Чому це важливо | | --- | --- | | Використовуйте окремий пристрій | Ізолюйте криптовалютну діяльність від щоденного серфінгу | | Відкликати дозволи | Шкідливі програми не можуть висмоктувати кошти з гаманців, які ви заблокували | | Уникайте публічного Wi-Fi | Crocodilus процвітає на незахищених мережах | | Перевірте X посилань офлайн | Схеми з глибокими підробками зникають при перехресній перевірці |
Для захисту від таких загроз користувачам доведеться використовувати багаторівневий підхід OPSEC. Експерти рекомендують використовувати апаратні гаманці для високовартісних інвестицій, увімкнути двофакторну автентифікацію та ніколи не ділитися seed-фразами — навіть із передбачуваним персоналом підтримки чи законними соціальними обліковими записами.
Регулярні перевірки схвалення гаманців, підтримка програмного забезпечення в актуальному стані та розділення криптооперацій на одноразові пристрої також можуть зменшити ризик. Оскільки зловмисники стають все більш інноваційними та винахідливими, найкращою обороною є залишатися добре освіченими та бути достатньо скептичними.