
[REDACTED] · Мошенничество в чате · IDOR · 14 месяцев активности · март 2026 года
Резюме
В данном расследовании приводятся данные о [REDACTED] — сложная фишинговая операция, в ходе которой злоумышленники выдавали себя за [REDACTED], используя домен бэкэнда [REDACTED]. Выдвижение в качестве кандидата на 14 месяцев (январь 2025 г. — февраль 2026 г.) в ходе этой операции злоумышленники нацеливались на пользователей криптовалют через поддельный чат службы поддержки, выманивая у них сед-фразы и требуя пополнения счетов под ложными предлогами «соблюдения требований OFAC» и «замены активов». Все 1 900 переписок с жертвами были извлечены с помощью критической уязвимости IDOR. Личность главного организатора операции была раскрыта.
Как работает эта афера: схема атаки
Эта операция осуществляется в соответствии с тщательно разработанной 5-этапной схемой, направленной на извлечение максимальной выгоды из каждой жертвы:
Финансовый ущерб: крупнейшие подтвержденные убытки
| Идентификатор чата | Сумма | Актив | Контекст |
|---|---|---|---|
| #1795 | 197 000 USDT | TRON (TRC-20) | Взял у бывшей жены |
| #481 | ~45,77 ETH | Эфириум | Несколько вкладов |
| #965 | ~16 000 USDT | USDT | Последовательные вклады |
| #720 | 8 000 USDT | TRC-20 | Однодневный трансфер |
| #1090 | 5 839 USDT | USDT | Мать-одиночка, подтвержденная утрата |
| #1430 | ~3 686 USDT | USDT | Два отдельных месторождения |
| #92 | 3 340,23 USDT | USDT | Подтверждена точная сумма |
| #1089 | 0,3201 BTC | Биткойн | Из аппаратного кошелька [REDACTED] |
Фактический ущерб, вероятно, намного выше
Это непроверенные данные, полученные из логов чатов. Многие жертвы никогда не указывали суммы. Из-за смены кошельков подсчитать общие суммы в цепочке блоков невозможно без полного отслеживания всей цепочки.
Идентификация оператора
Основной оператор: Василий Навроцкий
| Параметр | Значение |
|---|---|
| Полное имя | Василий Навроцкий (Василий Навроцкий) |
| Идентификатор в [REDACTED] | 6005741623 |
| Текущий дескриптор | @Addmeks |
| История имен пользователей | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Период действия | Июль 2023 г. — май 2025 г. |
| Отслеживаемые сообщения | 249 в 61 группе [REDACTED] |
| Ключевые группы | LEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6) |
Участники группы, упомянутые в логах чата
Приёмы социальной инженерии
| Тактика | Сообщения | Описание |
|---|---|---|
| Мошенничество с использованием поддельного приложения [REDACTED] | 1,905 | Выдавая себя за официальную службу поддержки [REDACTED] |
| Заявления о заморозке/блокировке кошелька | 360 | Сообщение о блокировке кошелька из-за «подозрительной активности» |
| Предложения по замене активов | 305 | Обещание «возместить» замороженные активы после внесения депозита |
| Угрозы введения санкций со стороны OFAC | 210 | Ложные утверждения о санкциях Министерства финансов США в отношении кошелька |
| Требования о внесении залога для разблокировки | 185 | Требование внесения депозита в криптовалюте для «разблокировки» кошелька |
| Поддельные предложения по стейкингу | 161 | Настраиваемые пулы стейкинга с индивидуальной годовой доходностью (APY) в панели администратора |
| Обвинения в связи с противодействием отмыванию денег и борьбой с финансированием терроризма | 66 | Обвинение жертв в отмывании денег |
Ирония
Русскоязычные мошенники, нацеленные на русскоязычных жертв (51 % чатов на русском языке), угрожающие Санкции Управления по контролю за иностранными активами (OFAC) Министерства финансов США — механизм регулирования, не учитывающий географические особенности их аудитории. Социальная инженерия на основе шаблонов, а не понимание контекста.
Воронка вовлечения жертв
Языки: Русский 51 % (3 013 сообщений) · Английский 40 % (2 995 сообщений) · Другие языки 9 % (365 сообщений)
Пик активности: Ноябрь 2025 года (959 сообщений). Рабочие часы: 10:00–13:00 UTC, в выходные дни — на 40 % меньше.
Анализ инфраструктуры
Архитектура основного домена: [REDACTED]
| Компонент | Подробности |
|---|---|
| API «Жертва» | [REDACTED] |
| Административный интерфейс | [REDACTED] / [REDACTED] |
| Статическая CDN | [REDACTED] |
| Стек бэкенда | Java Spring Boot + Spring Security, JWT RS256 |
| База данных | PostgreSQL (JPA/Hibernate) |
| Фронтенд | React CRA + Material UI (восстановлено 339 исходных файлов) |
| Веб-сервер | nginx/1.18.0 (Ubuntu) |
Хостинговая инфраструктура
| IP | Местоположение | Поставщик | Роль |
|---|---|---|---|
45.144.30.6 | Москва, Россия | UFO Hosting (AS33993) | В первую очередь ориентированные на пострадавших |
2.56.178.117 | Москва, Россия | UFO Hosting (AS33993) | Начальный этап (январь–февраль 2025 г.) |
185.170.198.121 | Вильнюс, Литва | IANA #1636 (AS47583) | Фронтенд для фишинга |
69.10.62.71 | Нью-Йорк, США | Interserver (AS19318) | Ориентированный на жертву |
69.49.231.166 | Атланта, штат Джорджия | Сетевые решения | Текущий первичный сервер — все *.[REDACTED] |
94.131.121.154 | Москва, Россия | UFO Hosting (AS33993) | Фишинг |
146.185.239.62 | Мадрид, Испания | GTHost (AS63023) | Вторичный (казино + Next.js) |
Фишинговые домены (сменяющиеся)
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
Критические уязвимости в системе безопасности
Инфраструктура мошеннической панели была полна уязвимостей, благодаря которым полный вывод данных не представлял никакой сложности:
11 Конечных точек API без аутентификации
Возможности панели администратора (анализ исходного кода)
Из утечек исходных карт производственной среды было восстановлено 339 исходных файлов (main.3924229a.js.map). В состав панели входят:
Обнаружена исследовательская деятельность третьих лиц
В чате № 1 обнаружен полезный груз обратного шелла
Было обнаружено, что полезный груз обратного шелла, закодированный в формате Base64, был внедрён через неавторизованный /message/save конечная точка на 6 мая 2025 года — примерно за 10 месяцев до начала данного расследования. Это свидетельствует о том, что уязвимости в течение длительного времени были доступны для публичного использования, и другой исследователь обнаружил их задолго до нас.
Хронология операции
Рекомендации для пользователей
- Никогда не разглашайте фразы-семена через чат, электронную почту или любой другой канал поддержки — [REDACTED] никогда не будет запрашивать эти данные
- Проверить контактные данные службы поддержки исключительно через официальные каналы [REDACTED]
- Выявление угроз, связанных с OFAC и AML в качестве типичных предлогов для мошенничества — легальные сервисы не блокируют кошельки через чат
- Сообщить о фишинговых доменах команде по безопасности [REDACTED] и THE ENABLERS REGISTRY
- Используйте аппаратные кошельки для подписи при снятии средств с целью предотвращения несанкционированных переводов
- Проверить состояние кошелька через историю транзакций в блокчейне, а не через какой-либо «вспомогательный» интерфейс
Полный технический отчет с журналами чата
Полные данные расследования, включая все стенограммы чатов, адреса кошельков, анализ операторов и интерактивные визуализации
Просмотреть полный отчет на GitHub →Просмотреть все 1 900 стенограмм чатов →