Назад до новин
РОЗСЛІДУВАННЯ АКТИВНОЇ ЗАГРОЗИ

Викрито фішингову групу, що атакувала Trust Wallet: викрадено 239 тис. доларів, встановлено особи 6 учасників

tttadmin.com · Шахрайство в чаті · IDOR · 14 місяців активності · березень 2026 року

Викрито панель управління Trust Wallet
1,900
Сесії чату з жертвами
$239K+
Підтверджено викрадення (USDT/ETH/BTC)
21
Виявлено гаманці шахраїв
6
Іменовані оператори

 Короткий зміст

У цьому розслідуванні наведено TrustWalletPanel — складна фішингова операція, в рамках якої зловмисники видають себе за Trust Wallet, використовуючи домен серверної частини tttadmin.com. Балотується на посаду 14 місяців (січень 2025 — лютий 2026 рр.) операція була спрямована проти користувачів криптовалют через фальшивий чат підтримки, в ході якої зловмисники виманювали посівні фрази та вимагали внески під фальшивими приводами «дотримання вимог OFAC» та «заміни активів». Усі 1 900 розмов із жертвами були викрадені через критичну вразливість IDOR. Особа головного оператора була ідентифікована.

 Як працює ця афера: алгоритм атаки

Ця операція здійснюється за ретельно розробленою 5-етапною Pipeline, спрямованою на отримання максимальної вигоди від кожної жертви:

Етап 1
Відкриття — Жертви знаходять фішинговий домен через групи в Telegram, через приманки у вигляді романтичних шахрайств (персонаж «Софія») або через результати пошукових систем
Етап 2
Підроблений гаманець — Фішинговий сайт імітує інтерфейс Trust Wallet; під час «створення гаманця» викрадає мнемонічну фразу-насіння та пароль
Етап 3
Тригер чату в режимі реального часу — Спроби зняття коштів навмисно завершуються невдачею; оператор чату відображається як «Служба підтримки Trust Wallet»
Етап 4
Соціальна інженерія — Оператори стверджують, що активи заморожено через порушення вимог OFAC та AML, і вимагають внести криптовалюту для «заміни» або «верифікації»
Етап 5
Повторне вилучення — Постійні вимоги щодо додаткових платежів із застосуванням тактики створення відчуття терміновості та тиску через наближення кінцевого терміну

 Фінансові збитки: найбільші підтверджені втрати

Ідентифікатор чатуСумаАктивКонтекст
#1795197 000 USDTTRON (TRC-20)Позичив у колишньої дружини
#481~45,77 ETHЕфіріумКілька депозитів
#965~16 000 USDTUSDTПослідовні внески
#7208 000 USDTTRC-20Одноденний трансфер
#10905 839 USDTUSDTМати-одиначка, підтверджена втрата
#1430~3 686 USDTUSDTДва окремі родовища
#923 340,23 USDTUSDTПідтверджена точна сума
#10890,3201 BTCБіткойнЗ апаратного гаманця Ledger

 Фактичний збиток, ймовірно, набагато більший

Це неперевірені дані, отримані з логів чатів. Багато жертв ніколи не повідомляли про суми. Через постійну зміну гаманців неможливо підрахувати загальні суми в ланцюжку без повного відстеження блокчейну.

 Ідентифікація оператора

 Головний оператор: Василь Навроцький

ПараметрЗначення
Повне ім'яВасиль Навроцький (Василий Навроцкий)
Ідентифікатор у Telegram6005741623
Поточний ідентифікатор@Addmeks
Історія імен користувачів @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Період діїЛипень 2023 року — травень 2025 року
Відстежувані повідомлення249 у 61 групах Telegram
Ключові групиBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Учасники чату, ідентифіковані за записами чату

👤
Льоха / Олексій
Основний оператор чату
👤
Діма
Оператор (чат № 92)
👤
Максим
Оператор (чат № 446, 201 повідомлень)
👤
Андрій
Оператор (чат № 579)
👤
Олександр
Рекрутер у Telegram
👤
Софія
Особа, яка використовується для приваблення жертв романтичних шахрайств

 Тактики соціальної інженерії

ТактикаПовідомленняОпис
Шахрайство під виглядом Trust Wallet1,905Видаючи себе за офіційну службу підтримки Trust Wallet
Заяви щодо замороження/блокування гаманців360 Повідомлення про блокування гаманця через «підозрілу активність»
Пропозиції щодо заміни активів305 Обіцяючи «повернути» заморожені активи після внесення депозиту
Загрози санкцій з боку OFAC210Неправдиві твердження про санкції Міністерства фінансів США щодо гаманця
Вимоги щодо внесення застави для розблокування185 Вимога внести депозит у криптовалюті для «розблокування» гаманця
Фальшиві пропозиції щодо стейкінгу161Налаштування власних пулів стейкінгу з APY в панелі адміністратора
Звинувачення у сфері протидії відмиванню грошей та боротьбі з фінансуванням тероризму66Звинувачення жертв у відмиванні грошей

 Іронія

Російськомовні шахраї, які націлені на російськомовних жертв (51 % чатів російською мовою) і погрожують Санкції Управління з контролю за іноземними активами (OFAC) Міністерства фінансів США — механізм регулювання, який не враховує географічні особливості їхньої аудиторії. Соціальна інженерія на основі шаблонів, а не розуміння контексту.

 Воронка залучення жертв

Перші заняття
1,900
100%
Відповів у чаті
679
35.7%
Високий рівень залученості (10 і більше повідомлень)
175
9.2%
Підтверджені перекази коштів
~20
1%

Мови: Російська 51 % (3 013 повідомлень) · Англійська 40 % (2 995 повідомлень) · Інші 9 % (365 повідомлень)

Пікова активність: Листопад 2025 року (959 повідомлень). Робочі години: 10:00–13:00 за UTC, у вихідні — на 40 % менше.

 Аналіз інфраструктури

 Архітектура основної доменної зони: tttadmin.com

IDORАВТЕНТИФІКАЦІЯ ВІДСУТНЯВИЯВЛЕНО ДЖЕРЕЛА КАРТНеправильна конфігурація CORS
КомпонентДеталі
API «Жертва»appp.tttadmin.com
Адміністративний інтерфейс core.tttadmin.com / app.tttadmin.com
Статична CDNstatic.tttadmin.com
Стек серверних технологійJava Spring Boot + Spring Security, JWT RS256
База данихPostgreSQL (JPA/Hibernate)
Інтерфейс користувачаReact CRA + Material UI (відновлено 339 вихідних файлів)
Веб-серверnginx/1.18.0 (Ubuntu)

 Інфраструктура хостингу

IPМісцезнаходженняПостачальникРоль
45.144.30.6Москва, РосіяUFO Hosting (AS33993)Первинна робота з потерпілими
2.56.178.117Москва, РосіяUFO Hosting (AS33993)Початковий етап (січень–лютий 2025 року)
185.170.198.121Вільнюс, ЛитваHostinger (AS47583)Інтерфейс фішингового сайту
69.10.62.71Нью-Йорк, СШАInterserver (AS19318)Орієнтований на жертву
69.49.231.166Атланта, штат ДжорджіяМережеві рішенняПоточний первинний — усі *.tttadmin.com
94.131.121.154Москва, РосіяUFO Hosting (AS33993)Фішинг
146.185.239.62Мадрид, ІспаніяGTHost (AS63023)Додатковий (казино + Next.js)

 Фішингові домени (зроблено ротацію)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
ДЕАКТИВОВАНО
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
ПІДГОТОВКА ЖЕРТВ ДО РОМАНТИЧНИХ АФЕР
rynova-qw.shop

 Критичні вразливості безпеки

Інфраструктура шахрайської платформи була сповнена вразливостей, завдяки яким повне вилучення даних не становило жодних труднощів:

 11 Точок кінцевих API без аутентифікації

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Повний текст чату, без авторизації# Returns latest victim session data POST /session/get → Витік мнемоніки та пароля# Inject messages into any victim chat POST /message/save → Авторизація не потрібна# Create fake victim sessions POST /session/init → Зберігає фрази-насіння# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Повні дані про мережу POST /token/info/get/all → Актуальні ціни на CoinMarketCap POST /stake/get/all → Параметри конфігурації пулів стейкінгу# Admin login - no rate limiting POST /admin/sign-in → Необмежена атака методом грубої сили
IDOR у /chat/get
Усі 1 900 чатів можна переглянути без авторизації
Розкрито «Source Maps»
Відновлено 339 вихідних файлів (3,4 МБ)
Неправильна конфігурація CORS
Відображає будь-яке джерело з обліковими даними
Відсутність обмеження частоти запитів
Необмежена атака методом грубої сили на обліковий запис адміністратора

 Можливості адміністративної панелі (аналіз вихідного коду)

З оприлюднених карт вихідного коду виробничого середовища було відновлено 339 файлів вихідного коду (main.3924229a.js.map). У складі панелі:

Менеджер гаманців
Переглянути/відредагувати всі гаманці жертв із мнемонічними фразами
Онлайн-чат (опитування за 1 секунду)
Чат із жертвою в режимі реального часу під ніком «Trust Wallet Support»
Контроль транзакцій
Редагувати статус, вносити фіктивні транзакції
Пули стейкінгу
Індивідуальні ставки APY, періоди фіксації, фіктивні дохідності

 Виявлено дослідницьку діяльність сторонніх організацій

 У чаті № 1 виявлено корисне навантаження «Reverse Shell»

Було виявлено, що корисне навантаження реверс-шелу, закодоване у форматі Base64, було введено через неавтентифікований /message/save кінцева точка на 6 травня 2025 року — приблизно за 10 місяців до початку цього розслідування. Це свідчить про те, що ці вразливості протягом тривалого часу були доступні для публічного використання, а інший дослідник виявив їх задовго до нас.

 Хронологія операції

січень 2025 року
З’являються перші повідомлення про жертв (845 повідомлень). Інфраструктура розташована на московських IP-адресах.
травень 2025 року
Незалежний дослідник виявив уразливість типу «IDOR» та ввів корисний вантаж у вигляді зворотного шелу
Листопад 2025 року
Пік активності: 959 повідомлень за один місяць. Поновлено SSL-сертифікати.
лютий 2026 року
Видано останній сертифікат. Операція все ще триває, створюються нові сесії.
1 березня 2026 року
Опубліковано результати розслідування PhishDestroy. Усі 1 900 чатів було вилучено та проаналізовано.

 Рекомендації для користувачів

 Повний технічний звіт із записами чату

Повні дані розслідування, включаючи всі стенограми чатів, адреси гаманців, аналіз операторів та інтерактивні візуалізації

Переглянути повний звіт на GitHub →

Переглянути всі 1 900 стенограм чатів →

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Набір інструментів «Crypto Drainer»: викрито реселерів «Angel Drainer»
BUYTRX викрито: 55 доменів та програма, що викачує кошти з TRON
РОЗСЛІДУВАННЯ
BUYTRX викрито: 55 доменів та програма, що викачує кошти з TRON
Анатомія криптофішингу: реверс-інжиніринг 8 реальних програм для викрадення сид-фраз
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Анатомія криптофішингу: реверс-інжиніринг 8 реальних програм для викрадення сид-фраз