Викрито фішингову групу, що атакувала Trust Wallet: викрадено 239 тис. доларів, встановлено особи 6 учасників
tttadmin.com · Шахрайство в чаті · IDOR · 14 місяців активності · березень 2026 року

Короткий зміст
У цьому розслідуванні наведено TrustWalletPanel — складна фішингова операція, в рамках якої зловмисники видають себе за Trust Wallet, використовуючи домен серверної частини tttadmin.com. Балотується на посаду 14 місяців (січень 2025 — лютий 2026 рр.) операція була спрямована проти користувачів криптовалют через фальшивий чат підтримки, в ході якої зловмисники виманювали посівні фрази та вимагали внески під фальшивими приводами «дотримання вимог OFAC» та «заміни активів». Усі 1 900 розмов із жертвами були викрадені через критичну вразливість IDOR. Особа головного оператора була ідентифікована.
Як працює ця афера: алгоритм атаки
Ця операція здійснюється за ретельно розробленою 5-етапною Pipeline, спрямованою на отримання максимальної вигоди від кожної жертви:
Фінансові збитки: найбільші підтверджені втрати
| Ідентифікатор чату | Сума | Актив | Контекст |
|---|---|---|---|
| #1795 | 197 000 USDT | TRON (TRC-20) | Позичив у колишньої дружини |
| #481 | ~45,77 ETH | Ефіріум | Кілька депозитів |
| #965 | ~16 000 USDT | USDT | Послідовні внески |
| #720 | 8 000 USDT | TRC-20 | Одноденний трансфер |
| #1090 | 5 839 USDT | USDT | Мати-одиначка, підтверджена втрата |
| #1430 | ~3 686 USDT | USDT | Два окремі родовища |
| #92 | 3 340,23 USDT | USDT | Підтверджена точна сума |
| #1089 | 0,3201 BTC | Біткойн | З апаратного гаманця Ledger |
Фактичний збиток, ймовірно, набагато більший
Це неперевірені дані, отримані з логів чатів. Багато жертв ніколи не повідомляли про суми. Через постійну зміну гаманців неможливо підрахувати загальні суми в ланцюжку без повного відстеження блокчейну.
Ідентифікація оператора
Головний оператор: Василь Навроцький
| Параметр | Значення |
|---|---|
| Повне ім'я | Василь Навроцький (Василий Навроцкий) |
| Ідентифікатор у Telegram | 6005741623 |
| Поточний ідентифікатор | @Addmeks |
| Історія імен користувачів | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Період дії | Липень 2023 року — травень 2025 року |
| Відстежувані повідомлення | 249 у 61 групах Telegram |
| Ключові групи | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Учасники чату, ідентифіковані за записами чату
Тактики соціальної інженерії
| Тактика | Повідомлення | Опис |
|---|---|---|
| Шахрайство під виглядом Trust Wallet | 1,905 | Видаючи себе за офіційну службу підтримки Trust Wallet |
| Заяви щодо замороження/блокування гаманців | 360 | Повідомлення про блокування гаманця через «підозрілу активність» |
| Пропозиції щодо заміни активів | 305 | Обіцяючи «повернути» заморожені активи після внесення депозиту |
| Загрози санкцій з боку OFAC | 210 | Неправдиві твердження про санкції Міністерства фінансів США щодо гаманця |
| Вимоги щодо внесення застави для розблокування | 185 | Вимога внести депозит у криптовалюті для «розблокування» гаманця |
| Фальшиві пропозиції щодо стейкінгу | 161 | Налаштування власних пулів стейкінгу з APY в панелі адміністратора |
| Звинувачення у сфері протидії відмиванню грошей та боротьбі з фінансуванням тероризму | 66 | Звинувачення жертв у відмиванні грошей |
Іронія
Російськомовні шахраї, які націлені на російськомовних жертв (51 % чатів російською мовою) і погрожують Санкції Управління з контролю за іноземними активами (OFAC) Міністерства фінансів США — механізм регулювання, який не враховує географічні особливості їхньої аудиторії. Соціальна інженерія на основі шаблонів, а не розуміння контексту.
Воронка залучення жертв
Мови: Російська 51 % (3 013 повідомлень) · Англійська 40 % (2 995 повідомлень) · Інші 9 % (365 повідомлень)
Пікова активність: Листопад 2025 року (959 повідомлень). Робочі години: 10:00–13:00 за UTC, у вихідні — на 40 % менше.
Аналіз інфраструктури
Архітектура основної доменної зони: tttadmin.com
| Компонент | Деталі |
|---|---|
| API «Жертва» | appp.tttadmin.com |
| Адміністративний інтерфейс | core.tttadmin.com / app.tttadmin.com |
| Статична CDN | static.tttadmin.com |
| Стек серверних технологій | Java Spring Boot + Spring Security, JWT RS256 |
| База даних | PostgreSQL (JPA/Hibernate) |
| Інтерфейс користувача | React CRA + Material UI (відновлено 339 вихідних файлів) |
| Веб-сервер | nginx/1.18.0 (Ubuntu) |
Інфраструктура хостингу
| IP | Місцезнаходження | Постачальник | Роль |
|---|---|---|---|
45.144.30.6 | Москва, Росія | UFO Hosting (AS33993) | Первинна робота з потерпілими |
2.56.178.117 | Москва, Росія | UFO Hosting (AS33993) | Початковий етап (січень–лютий 2025 року) |
185.170.198.121 | Вільнюс, Литва | Hostinger (AS47583) | Інтерфейс фішингового сайту |
69.10.62.71 | Нью-Йорк, США | Interserver (AS19318) | Орієнтований на жертву |
69.49.231.166 | Атланта, штат Джорджія | Мережеві рішення | Поточний первинний — усі *.tttadmin.com |
94.131.121.154 | Москва, Росія | UFO Hosting (AS33993) | Фішинг |
146.185.239.62 | Мадрид, Іспанія | GTHost (AS63023) | Додатковий (казино + Next.js) |
Фішингові домени (зроблено ротацію)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Критичні вразливості безпеки
Інфраструктура шахрайської платформи була сповнена вразливостей, завдяки яким повне вилучення даних не становило жодних труднощів:
11 Точок кінцевих API без аутентифікації
Можливості адміністративної панелі (аналіз вихідного коду)
З оприлюднених карт вихідного коду виробничого середовища було відновлено 339 файлів вихідного коду (main.3924229a.js.map). У складі панелі:
Виявлено дослідницьку діяльність сторонніх організацій
У чаті № 1 виявлено корисне навантаження «Reverse Shell»
Було виявлено, що корисне навантаження реверс-шелу, закодоване у форматі Base64, було введено через неавтентифікований /message/save кінцева точка на 6 травня 2025 року — приблизно за 10 місяців до початку цього розслідування. Це свідчить про те, що ці вразливості протягом тривалого часу були доступні для публічного використання, а інший дослідник виявив їх задовго до нас.
Хронологія операції
Рекомендації для користувачів
- Ніколи не розголошуйте фразу-насіння через чат, електронну пошту чи будь-який інший канал підтримки — Trust Wallet ніколи не запитуватиме їх
- Перевірити контактні дані служби підтримки виключно через офіційні канали Trust Wallet
- Виявлення загроз, пов’язаних з OFAC та AML як типові привід для шахрайства — легальні сервіси не блокують гаманці через чат
- Повідомити про фішингові домени команді з безпеки Trust Wallet та PhishDestroy
- Використовуйте апаратні гаманці для підпису при знятті коштів з метою запобігання несанкціонованим переказам
- Перевірити стан гаманця через історію транзакцій у блокчейні, а не через будь-який «допоміжний» інтерфейс
Повний технічний звіт із записами чату
Повні дані розслідування, включаючи всі стенограми чатів, адреси гаманців, аналіз операторів та інтерактивні візуалізації
Переглянути повний звіт на GitHub →Переглянути всі 1 900 стенограм чатів →


