60% ресурсов под криптоаферы оформлены в России

Олеся Афанасьева 16 Сентября 2022 - 16:31

...

60% ресурсов под криптоаферы оформлены в России

Половина сайтов, созданных под криптоаферы в YouTube, были оформлены на российских регистраторах доменных имен. Все ресурсы заточены под международные криптокошельки. Среди “восходящих” звезд крипто-фейк-шоу — президенты и футболисты.

Новое исследование Анатомия криптоскама выпустила компания Group-IB.

Схема Fake Crypto Giveaway стремительно взлетела еще в феврале. Известные личности якобы рекламируют криптопроекты и предлагают инвесторам перейти на промосайт для удвоения вложенных сумм. Чтобы “озолотиться”, нужно перевести криптомонеты или токены, в других случаях — сообщить seed-фразу от криптокошелька.

Чаще всего мошенники использовали образ Илона Маска. В мае на старой конференции про крипту аферистам удалось заработать $1,3 млн.

За полгода схема серьезно масштабировалась. Исследователи обнаружили регистрацию 2 000 доменных имен для фейковых промосайтов. Это почти в пять раз больше, чем во второй половине прошлого года и в 50 раз больше, чем годом ранее.

Бурный рост новых доменов объясняется автоматизацией инструментов для запуска мошеннической схемы. От киберпреступников больше не требуется особенных технических знаний.

Даже начинающий мошенник может получить все необходимые услуги под ключ: купить стримы для YouTube с профессиональной озвучкой на любых иностранных языках, видео с участием звездных предпринимателей, лендинги, взломанные YouTube-каналы и сервисы по накрутке подписчиков и просмотров.

Среди новых звезд-приманок оказался президент Сальвадора Найиб Букеле, а недавно началась реклама промосайтов с футболистом Криштиану Роналду.

Оба рекламных лица были выбраны неслучайно. В 2021 году Сальвадор стал первым в мире государством, которое объявило биткоин легитимным платежным средством — во многом по инициативе президента страны.

Криштиану Роналду стал первым футболистом, получившим награду криптовалютой. Клуб “Ювентус” наградил спортсмена токенами по числу забитых голов за всю карьеру. В июне о сотрудничестве с футболистом объявила криптобиржа Binance.

По данным Group-IB, 60% доменных имен сайтов для криптоафер были оформлены у российских регистраторов. Но в основном использовались интернациональные доменные зоны, так как мишень подобных ресурсов — это владельцы криптокошельков из Европы и США.

Все описания к видеороликам и на промосайтах сделаны на английском языке. В топ-5 самых популярных доменных зон криптовалютных сайтов аферистов вошли: .com (31.65%), .net (23.86%), .org (22.94%) и .us (5.89%).

Аналитики Group–IB составили рейтинг криптовалют и проектов, названия которых мошенники обыгрывают чаще всего. Это, в первую очередь, ETH (Ethereum, “эфир”), Ark (ARK Invest), Elon Musk с несуществующими криптопроектами от Tesla и SpaceX, а также Shiba (токен Shiba Inu).

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: