Разработчик ядра Ethereum Зак Коул недавно стал жертвой фишинговой атаки, в ходе которой злоумышленник замаскировал ссылку под приглашение на участие в подкасте. По словам Зака, попытка была основана на использовании поддельных доменов и вредоносного установщика для кражиdentданных и информации с его компьютера.
В понедельник вечером Коул создал ветку из 21 сообщения на X, начав с того, как мошенничество началось с личного сообщения на X, в котором его приглашали «Присоединиться к нашему подкасту!»
21 февраля.
— zak.eth (@0xzak) 15 сентября 2025 г
Всё началось с личного сообщения в Твиттере с предложением «Присоединяйтесь к нашему подкасту!».
Злоумышленник (@0xMauriceWang) представился сотрудником @theempirepod. После беглого просмотра всё выглядело правдоподобно, поэтому я согласился. Затем пришло письмо от [email protected] со ссылкой на @StreamYard. Текст гласил… pic.twitter.com/fEvazOVFs5
Отправитель, используя никнейм @0xMauriceWang в социальной сети, представился представителем подкаста Blockwork's Empire и отправил электронное письмо с адреса, который, по словам Зака, выглядел как «легальный домен подкаста»
Фишер пытался «помочь» Заку установить вредоносное приложение
По словам разработчика ядра Ether, в электронном письме содержалась ссылка, отображаемая как streamyard.com, но на самом деле являвшаяся гиперссылкой на streamyard.org. Когда Коул перешёл по ней, страница выдала сообщение об ошибке подключения и предложила загрузить настольное приложение для продолжения.
На скриншотах, которыми Коул поделился в своей теме на X, видно, что сначала он отказался устанавливать приложение из-за политики безопасности своей компании, но злоумышленник умолял его добавить его «только один раз», даже прислав видеоинструкцию, демонстрирующую, как установить предполагаемое приложение.
«Дружище, это StreamYard, у них более 3 миллионов пользователей. У меня тоже корпоративный ноутбук, но всё в порядке. Браузерная версия работает еле-еле, подключается, может быть, 1 из 20 попыток. Я почти уверен, что они поддерживают её в маркетинговых целях, но на практике все в итоге используют настольное приложение. Оно намного стабильнее…» — гласило сообщение.
Именно тогда Коул увидел «повсюду тревожные сигналы» и загрузил пакет на контролируемый лабораторный компьютер, а не на свой рабочий.
Внутри файла DMG он обнаружил скрытый исполняемый файл Mach-O под названием «.Streamyard», загрузчик Bash и поддельную иконку терминала, предназначенную для того, чтобы обманом заставить пользователей перетащить её для получения доступа к системе.
Он описал загрузчик как «матрешку из всякой чепухи», объяснив, как он объединяет фрагменты base64, расшифровывает их с помощью ключа, повторно кодирует результат и выполняет его. Каждый шаг был направлен на то, чтобы обойти обнаружение антивирусом.
«В автономном режиме Stage2 представлял собой AppleScript, который находил смонтированный том, копировал .Streamyard в /tmp/.Streamyard, снимал карантин с помощью xattr -c, chmod +x, а затем выполнял. Бесшумно, точно и смертельно», — объяснил разработчик, записывая строку кода.
Коул добавил, что если жертва отключит Gatekeeper в macOS или попадется на фишинговую уловку с перетаскиванием файлов через Терминал, вредоносная программа незаметно похитит все, включая пароли, криптовалютные кошельки, электронную почту, сообщения и фотографии.
Разговор с злоумышленником выявляет использование наемных служб по разработке вредоносного ПО
Вместо того чтобы пресечь операцию, Коул, попросив о помощи, подключился к телефонному разговору с мошенником, который выглядел нервным и читал по сценарию, пытаясь провести его через фальшивую установку.
Во время видеозвонка программист, использующий Ether, начал демонстрировать свой экран, пролистывая папку с откровенными видеороликами Ким Чен Ына, чтобы вывести злоумышленника из равновесия.
Когда мошенник попытался выяснить, почему ничего не работает, он признался, что не является участником поддерживаемой государством операции, а состоит в активном сообществе хакеров, которые арендовали фишинговый набор примерно за 3000 долларов в месяц.
Коул отметил, что злоумышленник использовал разговорные выражения, такие как «приятель», чтобы обмануть жертв, заставив их думать, что он находится в Великобритании или недалеко от США. Злоумышленник также сообщил, что не контролировал инфраструктуру напрямую и не мог управлять доменами полезной нагрузки, и что он использовал «киберпреступность как услугу, позволяющую зарабатывать деньги»
14/21
— zak.eth (@0xzak) 15 сентября 2025 г
Самое интересное, что они использовали https://t.co/3gJrz4EVIl для доставки (конечные точки load.*.php?call=stream) и https://t.co/NqE3HGJVms (@streamyardapp) в качестве приманки, и теперь обе ссылки сгорели (спасибо @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
Согласно результатам исследования компании VirusTotal, занимающейся сбором информации о кибербезопасности, в качестве инфраструктуры доставки использовались домены lefenari.com, на которых вредоносные программы размещались через скриптовые конечные точки, и streamyard.org, используемый в качестве приманки. Оба домена в настоящее время заблокированы при содействии компании Security Alliance, специализирующейся на кибербезопасности.
