Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / 100K RETURNED MALVERTISING

Возвращено $100 000: ликвидирована криптоафера с вредоносной рекламой

The Enablers Registry·Editorial mirror·/ru/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Расследование • Время чтения: 5–7 мин.

Возвращено $100 000 — схема с вредоносной рекламой сорвана

Российские мошенники выдали себя за криптопроект, используя вредоносную рекламу и вредоносное ПО для кражи данных. Мы выявили эту операцию, восстановили доступ к кошелькам и вернули более 100 тысяч долларов. Дополнительные возвращенные средства были переданы в качестве пожертвования организации @_SEAL_Org. Ниже приведены подробная разбивка, IOC и выводы.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Первоначально опубликовано на Средний — THE ENABLERS REGISTRY

Обзор

Криптовалютный проект стал жертвой атаки с использованием методов социальной инженерии, замаскированной под законное рекламное партнерство. Компания THE ENABLERS REGISTRY восстановила доступ к кошельку и вернула более 100 000 долларов из средств, подвергшихся риску, а затем перенаправила предложенное вознаграждение внешней организации, чтобы сохранить независимость.

Что нужно знать

  • Кошелек уже был взломан; средства уже были переведены.
  • Доступ был восстановлен, и $100K+ ему не позволили остаться с нападавшим.
  • В рамках проекта было предложено вознаграждение, от которого отказались и которое было перенаправлено на @_SEAL_Org вместо этого.
  • Эта работа выполняется самостоятельно в рамках профессиональной деятельности, а не в качестве оплачиваемой работы.

Как действовала эта мошенническая схема

  • Потерпевший получил предложение о партнерстве/рекламе криптовалютной игры.
  • Атака выглядела правдоподобно: профессиональный веб-сайт, устоявшаяся аккаунт в X (Twitter), видеозвонки, выглядевшие вполне достоверно.
  • Во время телефонных разговоров злоумышленники просили установить программу «Workplace Viewer» для доступа к материалам.
  • «Просмотрщик» был вредоносное ПО-крадец.
  • Злоумышленники сняли средства, обменяли токены между цепочками и перевели активы в свой кошелек.

Принятые ответные меры

  1. Подтверждено проникновение и остановлено дальнейшее продвижение.
  2. Восстановлен доступ к кошельку для его законного владельца.
  3. Обеспечено и передано команде жертвы управление кошельком злоумышленника, на который поступают средства.
  4. Скоординированные последующие меры по снижению остаточного риска.
Результат: Доступ восстановлен, контроль возвращен, злоумышленник заблокирован.

Укрепление безопасности после инцидента

Безопасность устройств

  • Пошаговая инструкция по безопасному обращению с зараженными устройствами
  • Изоляция сети, аннулирование сеансов, ротация учетных данных и ключей, план полного восстановления

Настройка рабочего режима

  • Новое, чистое рабочее место, предназначенное для работы с кошельками
  • Новая версия ОС, загрузка только от официальных источников, аппаратный кошелек, минимальное количество расширений, отдельный профиль браузера, двухфакторная аутентификация

Подготовка к судебной экспертизе

  • Рекомендации по созданию моментальных снимков дисков и сбору системных и прикладных журналов
  • Сохранение доказательств для возможного судебного расследования

Понимание понятия «реклама»

Реклама — это социальная инженерия в деловом стиле, при которой преступники имитируют обычные рабочие процессы (покупка рекламы, партнерские отношения, PR), чтобы обманным путём заставить пользователей установить вредоносные «клиенты».

Распространенные предупреждающие признаки:

  • «Установите наш менеджер/помощник по рекламе для синхронизации рекламных материалов»
  • «Воспользуйтесь нашим специальным клиентом Zoom/[REDACTED] для звонка»
  • «Откройте наш медиа-кит/соглашение о неразглашении с помощью защищённого просмотрщика»
Основное правило: Если для выполнения рабочего процесса от неизвестных источников требуется специальный клиент, просмотрщик или программа обновления, по умолчанию следует исходить из того, что речь идет о вредоносном ПО. Используйте только официальные версии, загруженные с сайтов поставщиков.

Награда и независимость

  • В рамках проекта было выплачено вознаграждение, поскольку сумма возмещения превысила первоначальный ущерб.
  • THE ENABLERS REGISTRY отказался от вознаграждения.
  • Весь излишек был направлен на @_SEAL_Org.
  • Это позволяет сохранить независимость — никаких источников финансирования и никаких обязательств.

Основные принципы

  • Только независимость — без бюджетов и каких-либо условий.
  • Подход, ориентированный на результат, а не на обсуждение.
  • Неприятие любых «особых клиентов» или непроверенного программного обеспечения.
  • Избирательное раскрытие информации, которое помогает жертвам, а не злоумышленникам.
  • Прямое давление на инфраструктуру злоумышленников.

Практические рекомендации

Для проектов и команд

  • Ни в коем случае не устанавливайте программы просмотра, клиентские приложения или программы обновления от непроверенных сторонних разработчиков.
  • Загружайте приложения Zoom и [REDACTED] исключительно с официальных сайтов разработчиков.
  • Избегайте спонсируемых ссылок на кошельки, мосты и аирдропы.
  • Отдавайте предпочтение аппаратным кошелькам с автономным хранением семенной фразы.
  • В случае взлома: прервите сеансы, переведите средства, произведите ротацию ключей, перевыпустите секретные данные, немедленно обратитесь за помощью.

Для сообщества

Заключение

Несмотря на то, что средства уже переведены, THE ENABLERS REGISTRY восстановленный доступ и обеспечила, чтобы злоумышленник не смог удержать похищенные активы. Отказавшись от вознаграждения и направив излишние средства на другие цели, организация сохраняет свою некоммерческую, независимую модель работы, ориентированную на быстрое и эффективное реагирование на инциденты.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

Поделиться этим расследованием

Связанные расследования

ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Анализ криптофишинга: реверс-инжиниринг 8 реальных программ для кражи семенных фраз
РАССЛЕДОВАНИЕ
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
РАССЛЕДОВАНИЕ
Разоблачение мошенников: подробный анализ 4 мошеннических бэкендов

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings