Пранк-троян CrystalX в России, кража $53 млн с Uranium Finance и утечка данных Еврокомиссии: дайджест кибербезопасности

На прошедшей неделе произошёл ряд значимых событий в сфере кибербезопасности, затрагивающих криптоиндустрию. В России выявлен необычный троян, совмещающий шпионские функции с «пранками» над жертвой. Прокуратура США предъявила обвинения хакеру, похитившему $53 млн с DEX Uranium Finance. Обновлённый стилер сид-фраз проник в магазины Apple и Google. Еврокомиссия подтвердила масштабную утечку данных.

CrystalX: троян, который крадёт криптовалюту и издевается над пользователем

Специалисты «Лаборатории Касперского» зафиксировали активное распространение трояна CrystalX на территории России. Вредоносное ПО продвигается по модели CaaS (Crime-as-a-Service) через рекламу в Telegram и YouTube.

Программа объединяет в себе функции шпиона и стилера. CrystalX способен:

• похищать учётные данные из браузеров, аккаунтов Steam, Discord и Telegram;
• подменять адреса криптокошельков в буфере обмена;
• вести скрытую запись звука и видео с экрана и веб-камеры.

Особенность зловреда — набор команд для «розыгрыша» жертвы в реальном времени. Панель управления содержит раздел Rofl, позволяющий менять фон рабочего стола, переворачивать экран на 90°–270°, менять местами кнопки мыши, блокировать ввод, вызывать дрожание курсора, скрывать значки на рабочем столе, а также принудительно выключать ОС. Атакующий может даже открыть диалоговое окно для переписки с жертвой.

Старший эксперт Kaspersky GReAT Леонид Безвершенко отметил, что вирус активно развивается, и ожидается рост числа пострадавших с расширением географии атак. Специалисты рекомендуют устанавливать приложения только из официальных магазинов, использовать антивирус и включить в Windows отображение расширений файлов, чтобы не запустить файлы форматов .EXE, .VBS и .SCR.

Стилер MaskGram прячет адреса серверов в профилях Spotify и Chess.com

Команда Solar 4RAYS выявила, что операторы стилера MaskGram размещают адреса управляющих серверов в профилях на Spotify и Chess.com. Этот метод называется Dead Drop Resolver (DDR) — заражённая машина обращается не к подозрительному IP-адресу, а к легитимному сервису, маскируя вредоносный трафик под обычную пользовательскую активность.

MaskGram нацелен на кражу учётных записей и криптовалют. Он собирает данные системы, делает скриншоты, извлекает информацию из Chromium-браузеров, криптокошельков, почтовых клиентов, мессенджеров и VPN. Злоумышленники распространяют софт под видом взломанных версий программ вроде Netflix Hunter Combo Tool и Steam Combo Extractor.

Ранее, в марте, специалисты Aikido зафиксировали аналогичное использование техники DDR стилером GlassWorm в криптотранзакциях на блокчейне Solana.

Хакеру Uranium Finance предъявлены обвинения в краже $53 млн

Прокуратура США обвинила Джонатана Спаллетту (псевдоним — Cthulhon) в хищении более $53 млн с децентрализованной биржи Uranium Finance и отмывании денег. Взлом DEX на базе BNB Chain произошёл в апреле 2021 года и привёл к закрытию площадки.

В феврале 2025 года при обыске у подозреваемого правоохранители изъяли ценные вещи и восстановили доступ к криптовалюте на сумму около $31 млн. По данным следствия, Спаллетта отмывал похищенные средства через DEX и миксер Tornado Cash.

Часть украденных активов была потрачена на коллекционные предметы:

• карта Magic: The Gathering «Black Lotus» — около $500 000;
• 18 запечатанных бустеров Alpha Edition Magic: The Gathering — около $1,5 млн;
• полный базовый набор Pokémon первого издания — около $750 000;
• древнеримская монета, отчеканенная в честь убийства Юлия Цезаря — более $601 000.

Обвиняемому грозит до 10 лет заключения за компьютерное мошенничество и до 20 лет за отмывание денег.

Обновлённый стилер SparkCat нацелен на сид-фразы в iOS и Android

«Лаборатория Касперского» обнаружила новую версию SparkCat — вредоносного ПО, проникшего в Apple App Store и Google Play Store. Стилер маскируется под безобидные приложения (корпоративные мессенджеры, сервисы доставки еды) и в фоновом режиме сканирует фотогалереи жертв в поисках сид-фраз криптокошельков.

Аналитики изучили два заражённых приложения в App Store и одно в Google Play. iOS-версия ищет мнемонические фразы на английском языке, что делает её потенциально опасной для пользователей по всему миру. Android-вариант получил несколько уровней обфускации кода, виртуализацию и поддержку ключевых слов на японском, корейском и китайском языках — атаки направлены преимущественно на азиатский рынок.

Специалисты предполагают, что за операцией стоит китайско- или русскоязычный оператор с высокими техническими навыками.

Почему это важно

События минувшей недели демонстрируют расширение арсенала злоумышленников, атакующих держателей криптовалют. Трояны и стилеры используют всё более изощрённые методы: от социальной инженерии и маскировки C2-серверов в легитимных сервисах до проникновения в официальные магазины приложений Apple и Google. Подмена криптоадресов в буфере обмена остаётся одним из наиболее эффективных способов хищения цифровых активов, поскольку пользователи редко перепроверяют адрес перед отправкой транзакции.

Утечка данных Еврокомиссии после атаки ShinyHunters

Еврокомиссия подтвердила факт утечки данных в результате кибератаки на платформу Europa.eu. Ответственность взяла на себя группировка ShinyHunters. В ЕК заявили, что инцидент удалось локализовать и он не нарушил работу портала.

Злоумышленники сообщили изданию BleepingComputer, что похитили более 350 ГБ информации, включая несколько баз данных. На даркнет-сайте группировка заявила о хищении более 90 ГБ файлов: дампов почтовых серверов, баз данных, конфиденциальных документов и контрактов. Способ взлома AWS-аккаунтов хакеры не раскрыли, однако предоставили скриншоты, подтверждающие доступ к учётным записям ряда сотрудников ЕК.