Криптоджекинг, кейлоггеры, руткиты: скрытые угрозы для активов
27.06.2025 | CoinKyt Company

Введение: Невидимая угроза крипто-активам

 

В 2025 году криптовалюты продолжают стремительно набирать популярность, привлекая всё больше новых пользователей — трейдеров, майнеров, инвесторов. Вместе с ростом числа крипто-активов возрастает и интерес киберпреступников, которые охотятся за вашими кошельками и цифровыми активами.

Криптопользователи часто сталкиваются с угрозами, которые остаются незаметными на первый взгляд. Угроза вредоносного ПО (программное обеспечение) — это одна из таких скрытых опасностей. Оно может незаметно установить контроль над вашим устройством, украсть приватные ключи, секретные пароли, а также использовать мощности вашего компьютера для своих целей.

В этой статье мы разберём самые распространённые типы вредоносного ПО, которые угрожают крипто-активам в 2025 году: криптоджекинг, кейлоггеры, руткиты, а также добавим важные сведения о стиллерах и дрейнерах — новых разновидностях цифровых угроз. Вы узнаете, как эти угрозы работают и как защитить свои криптоактивы и устройства от кражи.

 

 

1. Криптоджекинг: майнинг за ваш счёт

 

Криптоджекинг — это процесс, при котором злоумышленники используют вычислительные ресурсы чужих устройств для добычи криптовалюты (майнинга) без разрешения владельца.

 

Как это происходит?

Вы можете столкнуться с криптоджекингом, даже просто посетив вредоносный веб-сайт, где в фоновом режиме запускается майнинговый скрипт, загружающий процессор или видеокарту вашего компьютера. Также криптоджекинг может проникнуть через заражённые расширения для браузеров, поддельные приложения или даже пиратские программы.



Какие последствия?

- Производительность вашего компьютера падает: игры и программы начинают «тормозить», устройство сильно греется.

 

- Увеличивается расход электроэнергии — счета за электричество растут.


- Снижается срок службы компонентов из-за постоянной высокой нагрузки.

 

Пример из жизни

Представьте, что вы скачали бесплатное расширение для браузера, которое обещает отслеживать курсы криптовалют в реальном времени. Однако на самом деле оно запускает майнинговый скрипт в фоновом режиме, загружая процессор. Вы замечаете, что ноутбук стал работать медленнее, а заряд батареи садится быстрее — и это потому, что ваш компьютер «работает на злоумышленника».

 

 

2. Кейлоггеры: слежка за каждым нажатием

 

Кейлоггеры — это вредоносные программы, которые записывают все нажатия клавиш на вашем устройстве. Для криптопользователей это особенно опасно, потому что они могут перехватить логины, пароли, фразы восстановления и коды двухфакторной аутентификации.

 

Как кейлоггеры попадают на устройство?

1. Через вложения в электронных письмах, часто маскируются под документы или «важные» файлы.

2. Фальшивые обновления программного обеспечения.

3. Заражённые пиратские программы и утилиты.

4. Иногда — через уязвимости в браузерах или их расширениях.

 


Чем опасны кейлоггеры?

 

Когда кейлоггер установлен, злоумышленник получает полный список нажатых вами клавиш, что позволяет ему:

 

- Узнать пароли от криптовалютных бирж и кошельков.

- Записать фразы восстановления и приватные ключи.

- Перехватить одноразовые коды 2FA.

 

Пример из жизни

Представьте трейдера, который скачал «удобную» утилиту для ведения учёта сделок на криптобирже. На первый взгляд, программа работает нормально, но в фоновом режиме она записывает каждое нажатие клавиши. Через некоторое время злоумышленник получает доступ к его биржевому аккаунту, списывает средства и выводит их.

 

 

3. Руткиты: невидимые вредители

 

Руткиты — это разновидность вредоносного ПО, которая получает глубочайший уровень доступа к операционной системе, позволяя злоумышленнику контролировать устройство и скрывать своё присутствие от пользователя и антивирусов.

 

Что делает руткит?


- Устанавливает скрытые процессы, которые сложно обнаружить.


- Может отключать или обходить антивирусы и системы безопасности.


- Остаётся на устройстве длительное время и даёт полный контроль злоумышленнику.


Почему это опасно для криптопользователей?

Руткит, контролируя систему на низком уровне, может:


- Перехватывать все данные, включая пароли и ключи.


- Манипулировать транзакциями и подменять адреса кошельков.


- Уничтожать следы взлома.

 

Пример из жизни

Пользователь скачал взломанную версию программы для мониторинга работы видеокарты. Вместо полезных функций программа установила руткит, который маскируется под системный процесс. Антивирус её не видит, а злоумышленник получает полный контроль над устройством.

 

 

4. Стиллеры: кража кошельков и сессий

 

Стиллеры (stealers) — это вредоносные программы, которые крадут сохранённые пароли, файлы кошельков, куки браузера и другие данные, дающие доступ к вашим криптоактивам.

 

Как работают стиллеры?

Стиллеры собирают:


- Логины и пароли, сохранённые в браузерах.


- Файлы кошельков (например, wallet.dat, JSON-файлы).


- Cookie-файлы, которые могут содержать сессии бирж и сервисов.


- Данные из менеджеров паролей (если они плохо защищены).



Как заражают?


1. Фишинговые сайты.


2. Вредоносные вложения в мессенджерах и почте.


3. Маскировка под легальные программы: например, фейковые клиенты для онлайн-конференций (Zoom, Skype), которые пользователю предлагают скачать для работы или общения.


4. Фальшивые версии популярных криптокошельков (MetaMask, Trust Wallet), распространяемые через сомнительные ссылки.

 

Пример из жизни

Пользователь скачал «обновлённую» версию Zoom с якобы улучшенной защитой и удобными функциями для онлайн-совещаний. На самом деле это был стиллер, который после установки скопировал файл wallet.dat с его кошелька Electrum и отправил злоумышленникам.

 

 

5. Дрейнеры: молниеносная кража средств

 

Дрейнеры — это скрипты или вредоносные смарт-контракты, которые позволяют быстро и безвозвратно вывести криптовалюту с вашего кошелька.

Вредоносное приложение WalletConnect в Google Play:

 

 

Как это работает?


- Пользователь взаимодействует с мошенническим dApp (децентрализованным приложением) или принимает участие в фейковых акциях с NFT.


- В процессе пользователь подписывает транзакцию с разрешением (approve) на управление своими токенами.


- Злоумышленник использует это разрешение, чтобы «слить» все токены и монеты с кошелька.

 


Почему это опасно?


- Кража происходит мгновенно, и вернуть средства невозможно.


- Пользователь часто не понимает, что подписывает, — подделка интерфейса или незнание тонкостей смарт-контрактов играет злую шутку.

 


Пример из жизни

Пользователь участвует в «бесплатном розыгрыше NFT», где для получения токена нужно подписать транзакцию. На самом деле он разрешает мошенникам управлять всем своим балансом в USDT, ETH и других токенах, и после этого его кошелёк полностью очищают.

Был стиллер, который после установки скопировал файл wallet.dat с его кошелька Electrum и отправил злоумышленникам.

 

 

Комментарий от эксперта

 

Специалист по кибербезопасности КоинКит прокомментировал данную схему:

«Ярким примером подобного ограбления стала кража в декабре 2022 года, когда коллекционер лишился 14 NFT Bored Ape на сумму более миллиона долларов. Мошенники действовали через фальшивый сайт реальной лос-анджелесской киностудии Forte Pictures. От имени студии они более месяца общались с жертвой, используя переписку, звонки и поддельные документы, чтобы убедить его в съемках фильма, связанного с NFT. Они предложили коллекционеру лицензировать права на использование одного из его NFT Bored Ape для этого проекта.

 

Для оформления "лицензии" жертве предложили подписать контракт на специальной блокчейн-платформе Unemployd, представленной как площадка для лицензирования NFT. Однако, когда коллекционер одобрил транзакцию, думая, что дает разрешение на использование одного токена, на самом деле он подписал перевод всех 14 своих NFT Bored Ape на кошельки мошенников. Оплата за эту передачу была чисто символической — менее 0.001 цента в ETH.

 

Хотя длительная обработка жертвы методами социальной инженерии сыграла ключевую роль в успехе аферы, центральным элементом кражи стала сама эта подложная транзакция. Она была замаскирована под легальный контракт, но ее реальным действием была полная передача дорогостоящих активов злоумышленникам. Такие вредоносные транзакции, которые при одобрении жертвой неожиданно выводят (дренируют) криптоактивы с ее кошелька, и называются "дрейнерами" (drainers). В данном случае именно дрейнер стал инструментом хищения»

 

 

6. Вирус подмены криптоадреса: угроза копирования и вставки

 

Одна из тонких и коварных атак, с которой всё чаще сталкиваются криптопользователи — это вирус, подменяющий адрес криптовалютного кошелька при копировании и вставке.

 

Зловред проверяет содержимое определенных буферов (связанных с криптоадресами) с помощью набора встроенных регулярных выражений. Если совпадения найдены, программа заменяет текст случайно выбранным адресом из заданного списка.

 

Как это работает?

 

Когда вы копируете адрес кошелька (длинную строку из букв и цифр) в буфер обмена, вредоносное ПО в оперативной памяти может заменить его на адрес злоумышленника. В результате при вставке вместо нужного адреса в поле перевода будет подставлен чужой, и деньги уйдут мошенникам.

Вот такие регулярные выражения обычно злоумышленники встраивают в троян для кражи активов через подмену:



bc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Bitcoin

(^|\s)[3]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin/Bitcoin Legacy

(^|\s)D[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}($|\s) — Dogecoin

(^|\s)0x[A-Fa-f0-9]{40}($|\s) — ERC-20 (т. е. Ethereum, Tether, Ripple и др.)

(^|\s)[LM]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin Legacy

((^|\s)ltc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Litecoin

(^|\s)8[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero

(^|\s)4[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero

Их может быть от тысячи в каждом и от миллиона в одном таком зловредном ПО.

 


Почему это сложно заметить?

 

- Адреса криптовалют обычно очень длинные и похожи между собой, поэтому визуально подмену заметить сложно.


- Вы обычно копируете адрес, не проверяя его каждый раз по символам.


- После подмены транзакция выглядит обычной, но деньги идут не туда.

 


Как защититься?


1. После вставки адреса всегда внимательно проверяйте первые и последние несколько символов.

 

2. Используйте аппаратные кошельки, которые могут показывать адрес на дисплее.


3. Некоторые специализированные кошельки и расширения браузеров имеют защиту от подмены адреса.

 

 


7. Атака с «приманкой»: мелкие переводы и подмена адресов

 

Ещё один хитрый метод мошенников — отправка на ваш кошелёк небольших сумм криптовалюты с адреса, который очень похож на ваш собственный. 

 

Мы уже писали об этой атаке, рассказали про случай, когда из-за одного клика пользователь лишился $129 млн и во всех деталях описали механизмы атаки: «Что такое криптопылевые атаки с подменой»

 


Что происходит?

 

1. Злоумышленник генерирует адрес, максимально похожий на ваш (с похожими буквами или цифрами).


2. Он отправляет на ваш кошелёк копейки — обычно не более пары долларов в эквиваленте.


3. В надежде, что в следующий раз при копировании адреса вы случайно скопируете именно его, а не свой.


4. Если вы не заметите подмены, то отправите крупный перевод мошеннику.

 


Почему это опасно?


- Вы можете долго не замечать мелкие переводы с «поддельного» адреса.


- Адреса выглядят очень схоже, и при быстром копировании легко ошибиться.


- Такой метод часто используют для целенаправленных атак на трейдеров и инвесторов.

 


Как защититься?


1. Регулярно проверяйте историю входящих и исходящих транзакций.


2. При копировании адреса внимательно сверяйте каждый символ.


3. Используйте менеджеры адресов или аппаратные кошельки с функцией подтверждения адреса.

 

 


Текущая ситуация: рост угроз в 2025 году

 

В 2025 году количество атак на криптопользователей продолжает стремительно расти. Вредоносное ПО становится всё более сложным и изощрённым. Причины этому — повсеместное распространение криптовалют, рост цен и появление новых технологий.

 

Основные тренды:

  •  

  • 1. Malware-as-a-Service (Вредоносное ПО как услуга) — теперь любой желающий может арендовать стиллер, руткит или дрейнер, не обладая техническими знаниями.

  •  

  • 2. Социальная инженерия развивается: мошенники всё чаще используют поддельные аккаунты в Telegram, фальшивые сайты бирж и DeFi-платформ, создают боты, имитирующие поддержку.

  •  

  • 3. Усиливается атака через мобильные устройства — всё больше криптопользователей используют смартфоны, и вредоносное ПО подстраивается под них.

  •  

  • 4. Вредоносные программы активно используют маскировку под легальные приложения — онлайн-конференции, VPN, кошельки, «полезные» расширения.

 

Как защитить свои устройства и активы

 

Чтобы не стать жертвой киберпреступников, важно соблюдать базовые правила безопасности. Вот несколько простых, но эффективных советов.


Базовые меры:

 

  • Устанавливайте антивирусы от проверенных производителей и регулярно обновляйте их базы.

 

  • Не скачивайте программы и расширения из непроверенных источников.

 

  • Регулярно обновляйте операционную систему и браузеры — это снижает риски и угрозы эксплуатации уязвимостей.

 

  • Используйте безопасные браузеры с режимом защиты от майнинга (например, Brave).

 

  • Будьте осторожны с письмами и сообщениями от неизвестных отправителей — не открывайте вложения и ссылки.



Для криптопользователей:

 

  • Пользуйтесь аппаратными кошельками (Ledger, Trezor) — это самый надёжный способ защитить ключи.

 

  • Никогда не храните seed-фразы и приватные ключи в файлах на основном компьютере.

 

  • Проверяйте адреса сайтов, на которых работаете с криптой — будьте внимательны к доменам и SSL-сертификатам.

 

  • Регулярно проверяйте разрешения (approve) для смарт-контрактов с помощью специальных сервисов, например, Etherscan или Revoke.cash, и отзывайте ненужные.

 

  • Используйте менеджеры паролей для хранения сложных паролей, не записывайте их в блокнотах или на листках.



На что обращать внимание:

 

Криптоактивы, украденные с помощью описанных вредоносных программ — стиллеров, дрейнеров или вирусов подмены адресов, — неизбежно попадают в общий оборот. Эти «грязные» средства могут быть проданы на децентрализованных биржах (DEX), пропущены через миксеры или попросту отправлены ничего не подозревающим пользователям в качестве оплаты. Когда такие токены в итоге попадают на централизованные биржи (CEX) или в обменные сервисы, службы комплаенса немедленно блокируют и сами подозрительные активы, и, зачастую, кошельки их получивших. В результате обычные криптоэнтузиасты, невольно ставшие звеном в цепочке оборота украденных средств, сталкиваются с заморозкой счетов, потерей средств и юридическими сложностями.

Например, вот так подобные связи видит КоинКит. Через специальный инструмент визуализации данных в блокчейне мы наблюдаем как известный DEX принимает «грязную» криптовалюту, предположительно украденную путем вышеописанных манипуляций:

Чтобы обезопасить себя от связи с активами со 100% Risk Score, необходимо проверять их происхождение через специальные AML-сервисы. КоинКит умеет выявлять высокорискованные связи, отслеживать движение крипты от начальной до конечной точки и мониторить связи с дрейнерами, кейлоггерами, руткитами и другими скрытыми угрозами в реальном времени. 

 

 

Заключение: бдительность — лучшая защита

 

Вредоносное ПО для криптопользователей в 2025 году становится всё более изощрённым и опасным, угрожая вашим криптоактивам повсеместно. Блокчейн дает свободу и возможности, но требует внимательности и ответственности.

Простые правила кибергигиены, осторожность при скачивании программ и подписании транзакций помогут вам сохранить свои средства в безопасности. Помните: ваша бдительность — лучшая защита от скрытых угроз.