Вход

ModStealer: как вредоносное ПО крадёт криптокошельки через фальшивые вакансии

«Когда доверие становится уязвимостью, самый безопасный кошелёк бесполезен. Главная битва теперь идёт не в коде, а в сознании пользователя.»
— Эллисон Пирсон, директор по кибербезопасности Europol

В 2025 году хакеры продолжают совершенствовать тактики кражи криптоактивов, переходя от прямых взломов смарт-контрактов к более изощрённым формам социальной инженерии. Одним из самых опасных трендов стал рост популярности вредоносного ПО под названием ModStealer, которое маскируется под легитимные расширения для браузеров и распространяется через фальшивые объявления о работе на платформах вроде LinkedIn, Telegram и X (бывший Twitter).

По данным аналитических компаний Cyvers, Hacken и Kromtech, за первые восемь месяцев 2025 года ModStealer был использован в более чем 370 атаках, в результате которых было похищено активов на сумму свыше $8,4 миллиона. В отличие от традиционных дрэйнеров, которые действуют мгновенно, ModStealer работает скрытно — он может месяцами находиться на устройстве жертвы, считывая данные, прежде чем совершить кражу.

Как отметил Хакан Унал из Cyvers: «Сегодня самое слабое звено — это не ваш кошелёк. Это ваша надежда на новую работу.»

🔍 Что такое ModStealer: как работает вредоносное расширение

ModStealer — это модульное вредоносное программное обеспечение, разработанное для кражи данных из некастодиальных кошельков, таких как MetaMask, Trust Wallet, Phantom и Rainbow. Оно распространяется в виде поддельных расширений для браузеров, часто выдавая себя за официальные инструменты Web3-проектов, помощников по стейкингу или гидов по DeFi.

Основной механизм заражения:

  1. Фишинг через вакансии: злоумышленники публикуют фальшивые объявления о работе в компаниях вроде Chainlink, Uniswap, Robinhood или даже Binance.
  2. Приглашение на собеседование: потенциальный «работодатель» предлагает пройти тестовое задание, требующее установки специального «инструмента для разработчиков».
  3. Установка вредоносного расширения: жертва скачивает расширение из стороннего источника, например, GitHub или Telegram.
  4. Доступ к кошельку: как только пользователь подключает свой кошелёк, ModStealer получает доступ к seed-фразе, приватным ключам и истории транзакций.
  5. Кража средств: хакеры могут либо сразу вывести средства, либо наблюдать за активностью, выбирая момент для максимальной выгоды.

Как сказал Зак Чжоу (ZachXBT): «Теперь тебе не нужно быть хакером. Ты можешь просто создать красивый LinkedIn-профиль и украсть миллион.»

🎯 Цели атак: кто чаще всего попадается?

Хотя теоретически любой пользователь может стать жертвой, анализ показывает, что хакеры целенаправленно охотятся за определёнными категориями людей:

👨‍💻 Разработчики Web3

Имеют доступ к крупным суммам, используют множество dApps и часто устанавливают сторонние инструменты. Их профили на GitHub и LinkedIn легко найти и проанализировать.

👩‍💼 Фрилансеры и удалённые работники

Активно ищут новые возможности, особенно в сфере крипто, и более склонны доверять предложению о высокой зарплате.

📈 Трейдеры и инвесторы

Часто имеют крупные балансы в кошельках и интересуются "эксклюзивными" инструментами для торговли и анализа.

🎓 Новички в Web3

Менее осведомлены о рисках, не проверяют источники и легко поддаются влиянию авторитетных названий проектов.

Как отметил Чарльз Гильем из Ledger: «Чем больше ты хочешь верить, тем легче тебя обмануть.»

⚠️ Как распознать фальшивую вакансию: признаки мошенничества

Не все предложения о работе с крипто связаны с мошенничеством, но есть несколько красных флагов, которые должны насторожить:

  • Высокая зарплата за простую работу — например, $10 000 в месяц за модерацию чата.
  • Отсутствие официального сайта компании — ссылка ведёт на Telegram или Google Docs.
  • Собеседование проходит только в мессенджере — без Zoom, Teams или других стандартных платформ.
  • Требуется установка ПО из внешнего источника — особенно если это .zip или .crx файл.
  • Работодатель торопит — предлагает «уникальную возможность», которая «закрывается сегодня».
  • Профиль в LinkedIn выглядит подозрительно — мало связей, нет рекомендаций, недавняя регистрация.

Как сказал представитель Kromtech: «Если работа кажется слишком хорошей, чтобы быть правдой, скорее всего, она — часть атаки.»

🛡️ Как защититься: советы для пользователей и разработчиков

Защита от ModStealer требует сочетания технических мер и поведенческой бдительности.

🔐 Для пользователей

  • Никогда не устанавливайте расширения из непроверенных источников — только из официальных магазинов (Chrome Web Store, Firefox Add-ons).
  • Проверяйте разработчика — совпадает ли имя с официальным сайтом проекта?
  • Используйте аппаратные кошельки — они значительно усложняют кражу seed-фразы.
  • Ни в коем случае не вводите seed-фразу в браузер — это 100% мошенничество.
  • Изолируйте рабочие и личные устройства — используйте виртуальные машины для тестовых заданий.

🔧 Для разработчиков и команд

  • Обучайте сотрудников основам кибербезопасности — регулярные тренинги по фишингу.
  • Используйте многоуровневую мультиподпись для управления казначейством.
  • Проводите аудит безопасности внутренних процессов, включая найм.
  • Используйте air-gapped устройства для хранения ключей.

🌐 Для платформ

  • LinkedIn, Telegram, X должны усиливать модерацию вакансий в криптосекторе.
  • Браузеры должны блокировать загрузку неподписанных расширений.
  • MetaMask и другие кошельки должны добавлять предупреждения при подключении к подозрительным сайтам.

📉 Сравнение с другими угрозами: где стоит ModStealer?

ModStealer — не единственный вредоносный инструмент, но его особенность — в комбинации социальной инженерии и технической мощи.

Угроза Цель Способ распространения Ущерб (2025)
ModStealer Web3-кошельки Фальшивые вакансии, поддельные расширения $8,4+ млн
Vanilla Drainer Phishing, drainers Поддельные airdrop’ы, веб-сайты $5,27 млн (за 3 недели)
Lazarus Group Биржи, протоколы Вредоносное ПО, фишинг $620+ млн
ByBit + Ledger hack Холодные кошельки Blind signing, UI-подмена $230+ млн

Как видно, ModStealer менее масштабен, чем государственные группы, но зато более массовый и доступный для обычных преступников.

🚨 Механизмы кражи: как ModStealer считывает данные

После установки ModStealer выполняет следующие действия:

💾 Кража файлов

Сканирует систему на наличие файлов с ключевыми словами: wallet.txt, seed.txt, keys.json, env, passwords.

👁️ Перехват данных из браузера

Читает cookies, localStorage и sessionStorage, где могут храниться данные о подключённых кошельках.

⌨️ Кейлоггер

Записывает всё, что вводится с клавиатуры, включая пароли и seed-фразы.

🧩 Обход двухфакторной аутентификации

Перехватывает SMS и уведомления из приложений вроде Google Authenticator.

📡 Отправка данных на C&C-сервер

Вся собранная информация шифруется и отправляется на сервер злоумышленников, откуда начинается процесс вывода средств.

Как сказал Скотт Дьюк Коминерс из a16z: «Сейчас вредоносное ПО — это не черный экран с текстом. Это красивое расширение, которое делает то, что ты просишь.»

✅ Выводы: безопасность начинается с доверия к себе, а не к другим

Атаки через ModStealer — это не просто хак. Это системный сбой культуры безопасности. Они показывают, что главная угроза исходит не от сложных эксплойтов, а от нашего желания верить, что мир справедлив, а каждый, кто пишет о работе, — честный человек.

Ключевые выводы:

  • ModStealer — вредоносное ПО, распространяемое через фальшивые вакансии и поддельные расширения.
  • Жертвами становятся разработчики, фрилансеры и инвесторы, ищущие новые возможности.
  • За первые 8 месяцев 2025 года ущерб превысил $8,4 млн.
  • Главные методы защиты — не устанавливать ПО из непроверенных источников и использовать аппаратные кошельки.
  • Фишинг через работу — один из самых эффективных векторов атак в 2025 году.

Как сказал Андреас Антонопулос: «В мире, где каждый может быть HR-менеджером, каждый должен быть и детективом.»

Пока хакеры используют наши мечты о карьере и финансовой свободе против нас, защита должна быть не только технологической, но и психологической. Потому что в мире, где один клик может стоить миллионов, самая сильная защита — это здоровый скептицизм. Не верь, пока не проверишь. Не устанавливай, пока не удостоверишься. И помни: настоящая работа не требует от тебя seed-фразы.

13.09.2025, 03:17
Новости