Hackerii au învățat marketing: malware-ul crypto promovat cu review-uri false, voci AI și comentarii pe VirusTotal
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped.jpg)
O nouă campanie de malware arată cât de mult s-a schimbat criminalitatea informatică. Atacatorii nu mai mizează doar pe fișiere ascunse, linkuri suspecte sau emailuri prost scrise. În schimb, folosesc tehnici de marketing digital: review-uri false, conturi coordonate, videoclipuri cu naratori AI, proiecte pe GitHub și SourceForge, plus comentarii pozitive pe VirusTotal pentru a face fișierele periculoase să pară sigure.
Cercetătorii de la Check Point Research au descoperit o campanie care distribuie un crypto clipper, adică un tip de malware care urmărește ce copiezi în clipboard și înlocuiește adresele de portofel crypto cu unele controlate de atacatori. Țintele par să fie utilizatorii care caută scurtături rapide pentru câștiguri online: posesori de criptomonede, utilizatori interesați de Solana și Pump.fun sniper bots sau jucători atrași de așa-zise „predictors” pentru jocuri de tip crash.
Cum funcționează capcana din spatele descărcărilor
Malware-ul analizat de Check Point este scris în Rust și vizează atât Windows, cât și macOS. După instalare, acesta monitorizează constant clipboardul. Dacă utilizatorul copiază o adresă de portofel crypto, programul o detectează și o înlocuiește cu o adresă controlată de atacator. Victima poate crede că trimite bani către propriul portofel sau către un destinatar legitim, dar tranzacția ajunge, de fapt, la infractor.
Acest tip de atac este periculos tocmai pentru că se bazează pe un comportament foarte comun. În zona crypto, adresele sunt lungi, greu de verificat caracter cu caracter, iar mulți utilizatori copiază și lipesc adrese fără să le compare integral înainte de a confirma tranzacția. Un clipper profită exact de această neatenție.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/af2f38164e44658ab53309c58c0abf01-t.jpg)
Partea nouă nu este neapărat tehnica de furt, ci modul în care malware-ul este promovat. Atacatorul a creat o pagină WordPress de phishing care funcționează ca hub central, apoi a folosit proiecte pe GitHub și SourceForge, susținute de conturi false, pentru a da impresia că instrumentele sunt reale, populare și sigure. Unele repository-uri au fost umflate cu stele și fork-uri, semnale pe care mulți utilizatori le folosesc pentru a decide dacă un proiect pare de încredere.
Pe SourceForge, cercetătorii au observat un număr suspect de mare de descărcări, inclusiv zeci de mii provenite aparent de pe dispozitive Android, deși software-ul oferea doar versiuni pentru Windows și macOS. O explicație posibilă este folosirea unei ferme de dispozitive Android pentru umflarea artificială a statisticilor.
Falsa reputație a devenit arma principală
Cea mai interesantă parte a campaniei este manipularea reputației. Atacatorii au folosit comentarii pozitive, upvote-uri și conturi coordonate pe VirusTotal pentru a reduce suspiciunile în jurul fișierelor malițioase. În mod normal, mulți utilizatori verifică un fișier pe VirusTotal înainte de descărcare sau instalare. Dacă văd comentarii bune și reacții pozitive, pot ajunge să creadă că fișierul este curat.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/agenti-ai-tranzactii-criptomonede-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Donald-Trump-criptomonede-316x158.jpg)
Check Point descrie acest mecanism ca pe o economie falsă a reputației. În loc ca încrederea să vină din audituri reale, comunități autentice sau semnături oficiale, atacatorii construiesc o aparență de popularitate. O victimă curioasă care verifică pagina, repository-ul, clipul video și rezultatul de pe VirusTotal găsește peste tot aceleași semnale fabricate: descărcări multe, review-uri bune, tutoriale și comentarii pozitive.
Campania include și un canal YouTube cu peste 91.000 de abonați, unde instrumentele sunt promovate prin videoclipuri de tip tutorial. Clipurile folosesc naratori generați cu AI și comentarii pozitive pentru a crea impresia de produs legitim. Formula seamănă cu promovarea unui software real: demonstrație video, voce calmă, beneficii clare și un public aparent mulțumit.
Atacatorii au mers chiar mai departe, folosind un serviciu de distribuire de comunicate de presă pentru a promova presupusele capabilități ale instrumentelor. Comunicatul a fost apoi preluat pe site-uri partenere legitime, ceea ce a oferit campaniei încă un strat de credibilitate. Pentru un utilizator obișnuit, faptul că un produs apare pe un site de știri poate fi suficient pentru a-l face să pară sigur.
De ce atacul este un avertisment pentru toți utilizatorii
Această campanie arată că pericolul nu mai vine doar din fișiere necunoscute, ci și din semnalele de încredere pe care utilizatorii au fost învățați să le caute. Stelele de pe GitHub, numărul de descărcări, comentariile de pe VirusTotal, tutorialele video și aparițiile în comunicate pot fi manipulate.
Pentru utilizatorii crypto, riscul este imediat. O singură adresă înlocuită în clipboard poate duce la pierderea definitivă a fondurilor, deoarece tranzacțiile blockchain nu pot fi anulate. Verificarea ultimelor și primelor caractere ale unei adrese nu mai este întotdeauna suficientă, mai ales dacă atacatorii folosesc adrese asemănătoare vizual.
Pentru industria de securitate, campania este un semnal mai larg. Aceeași metodă de promovare falsă poate fi folosită mâine pentru infostealere, ransomware sau instrumente care vizează companii. Dacă atacatorii pot face un malware să pară popular, verificat și recomandat, bariera psihologică a descărcării scade dramatic.
Regula devine simplă: nu instala instrumente crypto dubioase care promit profit rapid, mai ales dacă vin din surse neoficiale și sunt susținute de review-uri prea bune ca să fie reale. Într-o lume în care până și reputația poate fi fabricată, cea mai bună protecție rămâne neîncrederea sănătoasă.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/6cbe1fd5ad06948332df5d55e04a7ba7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/ff61ea6f2e72e0ac0083cb956dc39287-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/41065f32bb398d6f3957dcee3756363f-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/b3036f55857d629b0b93c195918fc4f2-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/be6a4f18d6b9f2165a4816bcf0a1b2f8-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/d40d98d99472629d5428d3e41b559544-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/5b3ff70040eee659d8755126955a1de0-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1078402867.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/fundatiaregala.jpeg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0210187507.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Pensiile-cresc-in-Bulgaria-de-la-1-iulie.-Romanii-care-au-muncit-peste-granita-pot-beneficia-de-majorare.webp)