В январе 2026 года криптопреступники снова бьют не по блокчейнам, а по людям. Группировка Crazy Evil расширила атаки на специалистов Web3 и владельцев криптовалют, используя поддельные приложения для видеозвонков. В этой кампании фигурируют названия Meeten, Meetio и Meetone. По данным Recorded Future и Darktrace, из-за таких атак уже украдено более 5 млн долларов. Сайты Meetio[.]one и Meeten[.]org до сих пор онлайн, а некоторые браузеры ещё не распознают их как вредоносные - атаки продолжаются прямо сейчас.
Сценарий несложный, но хорошо подстроен под рабочие привычки отрасли. Жертве пишут в Telegram, LinkedIn или X, предлагают вакансию, партнерство или быстрый созвон по проекту. Потом присылают ссылку: скачай приложение, там будет встреча. На этом месте многие расслабляются, потому что видеозвонок выглядит как нормальная часть коммуникации.
Как устроена атака
Интересная деталь в том, что вредонос может работать еще до установки. Поддельные сайты этих приложений содержат JavaScript-код, который сразу пытается украсть криптовалюту, если она хранится в браузере. То есть достаточно открыть страницу, и вы уже в зоне риска.
Если человек все же скачивает и запускает приложение, на компьютер попадает информационный вор Realst (программа, которая собирает учетные данные). Он собирает учетные данные из браузеров и вытягивает все, что может помочь добраться до денег: данные криптокошельков и расширений, включая Phantom, а также следы использования аппаратных кошельков уровня Ledger и Trezor. В описаниях кампании также упоминается сбор платежной информации, включая данные банковских карт.
Дальше начинается развилка. Иногда средства выводят напрямую, если доступ позволяет. Иногда используют технику ice phishing (ледяной фишинг): жертву убеждают подписать транзакцию, которая выглядит легитимной, но на деле дает злоумышленнику право управлять активами через смарт-контракт. Это тот тип обмана, где человек сам нажимает подтвердить, потому что думает, что делает безопасное действие.
Кто такие Crazy Evil и почему их стоит воспринимать всерьез
По данным исследователей, у группировки есть публичные и закрытые Telegram-каналы, а управление связывают с пользователем @AbrahamCrazyEvil. Внутри якобы более 4800 подписчиков, разделенных на шесть подразделений: AVLAND, TYPED, DELAND, ZOOMLAND, DEFI и KEVLAND. Это важно не из-за названий, а из-за структуры. Такие группы работают как бизнес: роли распределены, инфраструктура масштабируется, а атаки идут потоком.
Отдельно отмечается, что Crazy Evil вербовала участников других криптопреступных групп Marko Polo и CryptoLove, которые в конце 2024 года устроили exit scam (мошенничество с выходом) и исчезли с деньгами. Это показывает, как быстро индустрия консолидируется и пересобирается после громких историй.
На этом фоне вспоминают и другой январский кейс 2026 года. Организованная группа из 12 человек, обвинённая по статье о преступной организации, украла более 713 млн долларов. В их схеме смешивались социальная инженерия, взломы, физическое давление и отмывание. В одном эпизоде жертву убедили отдать 4100 биткоинов, это около 230 млн долларов. Дальше деньги уходили в роскошь, вплоть до вечеров в клубах стоимостью до полумиллиона долларов, 28 экзотических автомобилей по 3,8 млн каждый и аренды частных самолетов. Это другой масштаб, но механика похожая: люди остаются самой легкой точкой входа.
Что можно сделать без лишней теории
Для компаний, особенно Web3, главный урок простой: любые неизвестные приложения для созвона должны считаться красным флагом. Если встреча реальная, она спокойно проходит в Zoom, Google Meet или Teams, без установки странного клиента по ссылке из мессенджера. Стоит закрепить это как правило и прогонять через обучение, потому что атака держится на привычке.
Частным пользователям важнее всего источник. Приложения ставятся только из официальных магазинов или с официальных сайтов, а не по ссылкам из личных сообщений. Если кошелек живет в браузере, риск выше, потому что даже один заход на поддельную страницу может запустить скрипт. И еще один практичный шаг для тех, кто работает с токенами: периодически проверять разрешения, которые вы выдавали смарт-контрактам, и отзывать лишние.
Финальный вывод спокойный. Crazy Evil не делает магии. Они делают рабочий, масштабируемый обман под профессиональный контекст. И это, пожалуй, самое неприятное: атака выглядит как обычная деловая коммуникация ровно до того момента, пока вы не нажали скачать.
