Криптодрейнер: что это такое и как защититься

Криптодрейнер (cryptodrainer) – это вредоносное ПО, которое «заточили» под кражу криптовалютных активов. Если по-простому, его задача сводится к одному: добраться до кошелька или учётки на бирже (а иногда и в онлайн-банке) и увести деньги на адрес злоумышленников.

Что обычно выдает криптодрейнер

• Охота именно за криптой. В отличие от многих «универсальных» троянов, дрейнеры чаще всего не распыляются, им интересны Bitcoin, Ethereum и другие активы.
• Расчёт на анонимность. Криптовалютные переводы сами по себе усложняют расследования, а злоумышленники дополнительно прячут следы через цепочки транзакций и разные кошельки.
• Работа без шума. Такие программы стараются не светиться. Чем дольше их не замечают, тем больше шансов собрать всё нужное и вывести средства без лишних вопросов.
• Сбор не только «монет». Дрейнеру важны и данные вокруг крипты: приватные ключи, seed-фразы, логины и пароли, API-ключи к биржам и сервисам. В ход идёт всё, что открывает доступ к активам.

По сути, криптодрейнеры можно считать частным случаем инфостилеров, которые охотятся именно за криптовалютными данными и за всем, что помогает быстро превратить их в деньги.

Как криптодрейнеры крадут криптовалюту

Трюков у них хватает. Ниже самые распространённые сценарии, которые чаще всего встречаются на практике.

1. Подмена адресов кошельков (clipper). Дрейнер следит за буфером обмена и ловит моменты, когда вы копируете криптоадрес. Дальше всё коварно просто: он тихо меняет адрес на адрес злоумышленника. Если не перепроверить, перевод улетает «не туда».
2. Фишинг и социнженерия. Делают поддельные сайты или приложения, визуально почти один в один с биржей или кошельком. Человек вводит данные на фишинговом ресурсе, а дальше злоумышленники уже сами заходят в аккаунт и выводят средства.
3. Вредоносные расширения для браузера. На вид это может быть «полезный» плагин, например для отслеживания курсов. В реальности он перехватывает чувствительную информацию или подменяет адреса прямо на страницах легитимных сервисов.
4. Трояны и кейлоггеры. Тут ставка на наблюдение: запись нажатий клавиш, сбор паролей, ключей и других данных. Иногда ещё и подглядывают за тем, что происходит в браузере или в приложениях кошельков.
5. Вредоносные скрипты на сайтах. Бывает, что дрейнер «живёт» прямо на веб-странице в виде скрипта и пытается перехватить данные или подменить их на лету. Иногда рядом всплывает и другая история, вроде криптоджекинга, когда устройство жертвы используют для скрытого майнинга.
6. Атаки на API криптобирж. Если пользователь хранит API-ключи для торговли или ботов, дрейнер может их утащить. А дальше злоумышленник получает рычаги управления аккаунтом: вывести средства, менять ордера, устраивать сомнительные операции.
7. Мобильные версии. На смартфонах схема похожая: поддельные приложения кошельков или бирж, «утилиты» для мониторинга, фальшивые обновления. После установки они тянут конфиденциальные данные и пробуют захватить доступ к активам.
8. Точечные атаки на конкретные кошельки. Иногда дрейнер используют как часть более широкой операции, когда цель заранее выбрали, например владельца крупного баланса. Тогда в ход идёт всё подряд: письма с вложениями, поддельные документы, взломы, фишинг, давление через соцсети.

Если подвести итог, криптодрейнеры охотятся за доступом к вашим активам и стараются вывести их как можно быстрее и тише. Поэтому лучше чуть замедлиться, лишний раз проверить адрес, не ставить сомнительное, и держать аккаунты под защитой. Это скучно, зато работает.