1 июля 2026 года специалисты McAfee Labs опубликовали детальный разбор кампании, получившей название Silent Swap. За этим именем скрывается схема кражи криптовалюты, устроенная так, что жертва, скорее всего, ничего не заподозрит до тех пор, пока деньги не уйдут безвозвратно.
Атака начинается с запуска неподписанного установщика. Исследователи зафиксировали две версии: одна написана , другая на Golang..NET-вариант использует компонент под названием BaseZipInstaller, который скачивает ZIP-архив и разворачивает из него вредоносное расширение для браузера. Как только жертва запускает файл, в дело вступает CountLoader — он подтягивает и устанавливает дополнительные компоненты. Распространяется всё это, предположительно, через фишинговые письма, взломанные игры, вредоносную рекламу и другие приёмы социальной инженерии, хотя окончательно способ доставки пока не подтверждён.
Расширение притворяется утилитой «Google Notes». Никакого отношения к заметкам оно не имеет: это полноценный clipboard hijacker, то есть перехватчик буфера обмена. Запрашивает он три разрешения: доступ к буферу обмена, доступ ко всем URL и доступ к истории браузера. Работает на всех распространённых Chromium-браузерах: Google Chrome, Microsoft Edge, Brave, Vivaldi и Opera.
Установка проходит без ведома пользователя. Вредонос сканирует систему на наличие Chromium-браузеров, принудительно завершает их процессы, а затем модифицирует файлы Secure Preferences и Preferences, внося туда запись о расширении. Чтобы браузер не поднял тревогу, перерасчитываются хэш-значения и HMAC-подписи. После этого браузер воспринимает расширение как легитимное и загружает его при каждом запуске. Магазин расширений при этом полностью обходится стороной. По завершении инсталляции установщик самоудаляется, уничтожая следы первоначального заражения.
Принцип работы прост и жесток. Когда пользователь копирует адрес криптокошелька, расширение перехватывает его и отправляет на сервер злоумышленника. Сервер возвращает в ответ подменный адрес, принадлежащий атакующему. Этот адрес и оказывается в буфере обмена вместо оригинального. Если запрос к серверу по какой-то причине не прошёл, срабатывает резервный механизм: в расширение вшит жёстко заданный адрес кошелька, так что кража продолжается в любом случае. McAfee Labs установила, что маппинг детерминированный: один и тот же исходный адрес всегда возвращает одну и ту же замену.
Поддерживаются Bitcoin, Ethereum, Bitcoin Cash, Ripple (XRP), Dash и Solana. Для первых пяти каждая жертва получает уникальный адрес злоумышленника. Для Solana все адреса ведут на один кошелёк — на момент публикации на нём числилось $1 902,45.
Отдельного внимания заслуживает техника, которую McAfee Labs называет EtherHiding. Silent Swap использует блокчейн как хранилище адресов C2-серверов. Вместо того чтобы прописывать доменное имя командного сервера прямо в коде, вредонос считывает его из смарт-контракта. Оператору достаточно одной транзакции, чтобы переключить всю инфраструктуру на новый домен. Перевыпускать малварь при этом не нужно. Как сформулировали сами аналитики McAfee Labs: «Статичные адреса атакующего заменены серверным маппингом на уровне жертвы. Хрупкие жёстко заданные C2-домены заменены блокчейн-резолвером, который оператор может сменить одной транзакцией». Это принципиальное отличие от более старых схем.
Среди пострадавших стран наибольшая концентрация жертв приходится на Индию, также зафиксированы случаи в США, Бразилии, Индонезии и Испании. Транзакции в блокчейне необратимы, поэтому каждый успешный перехват адреса означает безвозвратную потерю средств.
Параллельно исследователи компании Socket, Кирилл Бойченко и Куш Пандья, описали отдельную угрозу. В Chrome Web Store и в каталоге Firefox Add-ons обнаружилось расширение под названием «VPN Go: Free VPN». Внешне оно работало как прокси-инструмент. Внутри скрывался модуль, который непрерывно следил за буфером обмена и сливал его содержимое на серверы злоумышленников. Под угрозой оказывалось всё: пароли, коды двухфакторной аутентификации, API-ключи, OAuth-токены, сид-фразы. Авторы описали это так: «Оба расширения представляют себя как бесплатные VPN-инструменты и включают видимую функциональность прокси. Под капотом оба также содержат вредоносную логику кражи из буфера обмена, которая непрерывно отслеживает скопированный текст и передаёт его на инфраструктуру под контролем злоумышленника».
История версий показывает, как именно провернули этот трюк. Для Chrome: версия 1.1 уже сливала данные на адрес 178.236.252[.]133, версия 1.2 делала то же самое, версия 1.3 переключила канал на 77.91.123[.]187. Для Firefox: в версии 1.3.3 впервые появился стилер с отправкой на 178.236.252[.]133, версия 1.3.4 переехала на 77.91.123[.]187. Разработчик изначально опубликовал безобидную версию, прошёл модерацию, а потом внедрил вредоносный функционал через обычное обновление. Дополнительный риск создавала сама прокси-функция: весь браузерный трафик шёл через инфраструктуру злоумышленника, открывая незашифрованные HTTP-соединения и метаданные. Обоим расширениям нужно немедленно удалить, а любые данные, скопированные в период их активности, считать скомпрометированными.
Оба кейса иллюстрируют одно и то же смещение в тактике атакующих. Жёсткая статичная инфраструктура уходит в прошлое. Вместо неё появляются динамические серверные маппинги, блокчейн-резолверы и многоэтапные установки, где каждый слой отдельно справляется с обнаружением и удалением. Расширения, притворяющиеся блокнотами или VPN-сервисами, при этом остаются удобным прикрытием — именно потому что кажутся полезными.
Атака начинается с запуска неподписанного установщика. Исследователи зафиксировали две версии: одна написана , другая на Golang..NET-вариант использует компонент под названием BaseZipInstaller, который скачивает ZIP-архив и разворачивает из него вредоносное расширение для браузера. Как только жертва запускает файл, в дело вступает CountLoader — он подтягивает и устанавливает дополнительные компоненты. Распространяется всё это, предположительно, через фишинговые письма, взломанные игры, вредоносную рекламу и другие приёмы социальной инженерии, хотя окончательно способ доставки пока не подтверждён.
Расширение притворяется утилитой «Google Notes». Никакого отношения к заметкам оно не имеет: это полноценный clipboard hijacker, то есть перехватчик буфера обмена. Запрашивает он три разрешения: доступ к буферу обмена, доступ ко всем URL и доступ к истории браузера. Работает на всех распространённых Chromium-браузерах: Google Chrome, Microsoft Edge, Brave, Vivaldi и Opera.
Установка проходит без ведома пользователя. Вредонос сканирует систему на наличие Chromium-браузеров, принудительно завершает их процессы, а затем модифицирует файлы Secure Preferences и Preferences, внося туда запись о расширении. Чтобы браузер не поднял тревогу, перерасчитываются хэш-значения и HMAC-подписи. После этого браузер воспринимает расширение как легитимное и загружает его при каждом запуске. Магазин расширений при этом полностью обходится стороной. По завершении инсталляции установщик самоудаляется, уничтожая следы первоначального заражения.
Принцип работы прост и жесток. Когда пользователь копирует адрес криптокошелька, расширение перехватывает его и отправляет на сервер злоумышленника. Сервер возвращает в ответ подменный адрес, принадлежащий атакующему. Этот адрес и оказывается в буфере обмена вместо оригинального. Если запрос к серверу по какой-то причине не прошёл, срабатывает резервный механизм: в расширение вшит жёстко заданный адрес кошелька, так что кража продолжается в любом случае. McAfee Labs установила, что маппинг детерминированный: один и тот же исходный адрес всегда возвращает одну и ту же замену.
Поддерживаются Bitcoin, Ethereum, Bitcoin Cash, Ripple (XRP), Dash и Solana. Для первых пяти каждая жертва получает уникальный адрес злоумышленника. Для Solana все адреса ведут на один кошелёк — на момент публикации на нём числилось $1 902,45.
Отдельного внимания заслуживает техника, которую McAfee Labs называет EtherHiding. Silent Swap использует блокчейн как хранилище адресов C2-серверов. Вместо того чтобы прописывать доменное имя командного сервера прямо в коде, вредонос считывает его из смарт-контракта. Оператору достаточно одной транзакции, чтобы переключить всю инфраструктуру на новый домен. Перевыпускать малварь при этом не нужно. Как сформулировали сами аналитики McAfee Labs: «Статичные адреса атакующего заменены серверным маппингом на уровне жертвы. Хрупкие жёстко заданные C2-домены заменены блокчейн-резолвером, который оператор может сменить одной транзакцией». Это принципиальное отличие от более старых схем.
Среди пострадавших стран наибольшая концентрация жертв приходится на Индию, также зафиксированы случаи в США, Бразилии, Индонезии и Испании. Транзакции в блокчейне необратимы, поэтому каждый успешный перехват адреса означает безвозвратную потерю средств.
Параллельно исследователи компании Socket, Кирилл Бойченко и Куш Пандья, описали отдельную угрозу. В Chrome Web Store и в каталоге Firefox Add-ons обнаружилось расширение под названием «VPN Go: Free VPN». Внешне оно работало как прокси-инструмент. Внутри скрывался модуль, который непрерывно следил за буфером обмена и сливал его содержимое на серверы злоумышленников. Под угрозой оказывалось всё: пароли, коды двухфакторной аутентификации, API-ключи, OAuth-токены, сид-фразы. Авторы описали это так: «Оба расширения представляют себя как бесплатные VPN-инструменты и включают видимую функциональность прокси. Под капотом оба также содержат вредоносную логику кражи из буфера обмена, которая непрерывно отслеживает скопированный текст и передаёт его на инфраструктуру под контролем злоумышленника».
История версий показывает, как именно провернули этот трюк. Для Chrome: версия 1.1 уже сливала данные на адрес 178.236.252[.]133, версия 1.2 делала то же самое, версия 1.3 переключила канал на 77.91.123[.]187. Для Firefox: в версии 1.3.3 впервые появился стилер с отправкой на 178.236.252[.]133, версия 1.3.4 переехала на 77.91.123[.]187. Разработчик изначально опубликовал безобидную версию, прошёл модерацию, а потом внедрил вредоносный функционал через обычное обновление. Дополнительный риск создавала сама прокси-функция: весь браузерный трафик шёл через инфраструктуру злоумышленника, открывая незашифрованные HTTP-соединения и метаданные. Обоим расширениям нужно немедленно удалить, а любые данные, скопированные в период их активности, считать скомпрометированными.
Оба кейса иллюстрируют одно и то же смещение в тактике атакующих. Жёсткая статичная инфраструктура уходит в прошлое. Вместо неё появляются динамические серверные маппинги, блокчейн-резолверы и многоэтапные установки, где каждый слой отдельно справляется с обнаружением и удалением. Расширения, притворяющиеся блокнотами или VPN-сервисами, при этом остаются удобным прикрытием — именно потому что кажутся полезными.