Новости криптомира

18.06.2026
00:09

Новая волна крипто-мошенничества в России: дрейнеры маскируются под инвестиционные программы

Как минимум три хакерские группировки развернули массированную атаку на российских держателей криптовалют с использованием вредоносных программ-дрейнеров. Злоумышленники искусно маскируют свои схемы под партнерские программы и выгодные предложения для инвесторов.

В конце мая – начале июня 2025 года аналитики профильного подразделения F6 Digital Risk Protection зафиксировали запуск не менее 15 сайтов-приманок, оснащенных скрытыми криптодрейнерами. Эти программы созданы для мгновенного опустошения криптокошельков ничего не подозревающих пользователей.

Механика атаки выглядит следующим образом. Жертву заманивают на поддельный ресурс обещанием открыть инвестиционный счет с приветственным бонусом в размере 50 USDT. Для активации этого «щедрого» предложения пользователю предлагают подключить свой кошелек, отсканировав QR-код через официальное приложение. На деле же, одобряя интеграцию и подписывая транзакционный запрос, человек самостоятельно открывает злоумышленникам полный доступ к выводу всех своих цифровых активов: криптовалюты, токенов и NFT. Как только авторизация на фальшивом сайте завершена, вредоносный софт несколькими запросами проверяет баланс и мгновенно выводит все доступные средства.

Основные уловки мошенников

Специалисты выделяют три основных типа приманок, используемых злоумышленниками:

  • Инвестиционные счета: Обещание бонуса за регистрацию.
  • Telegram-активность: Предложение выгодной покупки «звезд» (внутренней валюты мессенджера).
  • Бонусные программы: Раздача бесплатных токенов за подключение кошелька.

Важно отметить, что дрейнеры не являются принципиально новым инструментом. Несколько лет назад они активно использовались в англоязычном сегменте, после чего их активность пошла на спад. Сейчас мы наблюдаем возрождение этой угрозы, но уже с прицелом исключительно на русскоязычную аудиторию. Злоумышленники быстро адаптируются: на смену заблокированным доменам приходят новые адреса.

Как защитить свои активы

Эксперты F6 настоятельно рекомендуют полностью отказаться от переходов по подозрительным ссылкам из рекламных объявлений. Перед подключением кошелька необходимо тщательно сверять доменное имя ресурса. Злоумышленники часто регистрируют созвучные известным брендам домены, поэтому стоит проверять дату создания сайта через Whois-сервисы.

Кроме того, так как брокерская деятельность в РФ ведется только по лицензии Банка России, всегда можно проверить действительность такой лицензии и официальные интернет-ресурсы брокера на сайте ЦБ. Любые акции следует сверять исключительно на официальных площадках. Подозрительный сайт можно отправить на платформу «Антифишинг» — специалисты F6 проверят информацию и передадут ее регуляторам для блокировки.

Комментарий аналитика: Данная атака — яркий пример того, как классические фишинговые схемы получают новое «дыхание» в криптоиндустрии. Я рекомендую пользователям выработать железное правило: никогда не подключать кошелек к сайту, рекламу которого вы увидели в случайном объявлении или сообщении. Любое обещание «бесплатных денег» — это почти всегда красный флаг. Используйте аппаратные кошельки и отдельные «горячие» кошельки с минимальным балансом для взаимодействия с новыми dApps и сервисами.