Aviator Predictor та схожі “крипто-снайпер” інструменти небезпечні не тому, що погано вгадують наступний раунд гри. Головний ризик у тому, що під виглядом прогнозу або безкоштовного бота користувачу можуть дати файл, який стежить за буфером обміну, підміняє криптовалютні адреси та залишає приховані компоненти в Windows.
Якщо ви завантажували Aviator Predictor, Pump.fun sniper bot, crash-game predictor або ZIP-архів із файлами на кшталт SniperBot_Premium(Free).exe чи silkebin.exe, не використовуйте цей самий комп’ютер для криптогаманців, доки не перевірите систему.
Чому фейкові predictor-додатки небезпечні
Такі програми часто просуваються там, де користувач і так очікує неофіційні інструменти: у відео, форумах, Telegram-каналах, репозиторіях і на сторінках завантаження. Зловмисники можуть підробляти зірки, кількість завантажень, позитивні коментарі та навіть обговорення навколо файлу. Це створює відчуття, що програму вже перевірили інші, хоча сам бінарний файл може бути шкідливим.
У кампанії, яку описали дослідники Check Point, фейкова репутація вела до Rust-кліпера буфера обміну. Такий кліпер чекає, поки користувач скопіює криптовалютну адресу, і підміняє її адресою атакувальника перед вставленням.
На що звернути увагу
| Ознака | Що це означає |
|---|---|
| Фейковий прогноз або sniper bot | Інструмент обіцяє прибуток чи гарантований результат, тому користувач частіше відкриває гаманець у тій самій сесії. |
| Моніторинг буфера обміну | Кліпер може замінити адресу отримувача вже після копіювання, але до відправлення транзакції. |
| Підроблена репутація | Зірки, коментарі, відео та завантаження не доводять, що файл безпечний. |
| Додаткові EXE-файли | Файли на кшталт silkebin.exe або несподівані компоненти в архіві можуть бути справжнім payload, а не частиною інтерфейсу. |
Докази та файлові артефакти
Ця стаття не відправляє читача на сторінки завантаження зловмисника, і ми не завантажували та не запускали live-зразки з кампанії. Нижче наведені артефакти з первинного reverse-engineering звіту, які корисні для перевірки, бо описують те, що жертва може побачити на диску або в поведінці Windows.
| Артефакт або поведінка | Чому це важливо |
|---|---|
SniperBot_Premium(Free).exe | Назва Windows loader у одному з фейкових crypto-sniper пакетів. ZIP із подібним naming pattern треба вважати підозрілим. |
src/config/silkebin.exe | Шлях до payload усередині розпакованого пакета. Це показує, що видимий predictor-додаток може бути лише частиною ланцюга. |
%APPDATA%\silke\silke.exe | Шлях копії для persistence. Якщо схожий файл з’явився в AppData після запуску predictor, перевірте автозапуск перед роботою з гаманцями. |
| Ярлик у Startup folder | Malware може запускатися після входу в систему, тому видалення ZIP-файлу не доводить, що ПК очищено. |
| Робота з clipboard API | Поведінка включає читання, очищення та встановлення вмісту буфера обміну, що відповідає підміні криптовалютних адрес. |
| Великий список адрес гаманців | Звіт описує тисячі адрес атакувальника для Bitcoin, Ethereum/EVM, Tron, Litecoin, Monero, Cardano, Dogecoin, XRP та інших форматів. |
Що робити, якщо ви запускали Aviator Predictor
- Не надсилайте криптовалюту з цього самого браузера або гаманця, доки не перевірите адреси на чистому пристрої.
- Видаліть ZIP-архів і розпаковану папку, але не вважайте це повним очищенням.
- Перевірте історію транзакцій. Якщо адреса отримувача змінювалась або кошти пішли невідомо куди, створіть новий гаманець на чистому пристрої та переведіть залишки туди.
- Перевірте Task Manager, Startup Apps і Task Scheduler на записи, створені після завантаження predictor-додатка.
- Перегляньте
%USERPROFILE%\Downloads,%TEMP%і%APPDATA%на файли, створені в той самий час. - Змініть паролі від бірж, пошти, Discord, Telegram і синхронізованого браузера з чистого пристрою.
- Запустіть повне сканування системи перед тим, як знову працювати з гаманцем на цьому ПК.
У таких випадках сканування потрібне не тільки для видимого EXE-файлу. Після запуску фейкового predictor-додатка в системі можуть залишитися завантажувач, запис автозапуску, задача планувальника, зміна браузера або прихований компонент. Gridinsoft Anti-Malware допомагає перевірити активні детекти, автозапуск, підозрілі файли та залишки після запуску шкідливої програми.
[gs_cta variant=”stealer_account” campaign=”aviator_predictor_malware_ua” button=”Перевірити ПК після фейкового predictor”]
Як не потрапити в таку пастку
Не сприймайте зірки GitHub, кількість завантажень, YouTube-відео, Telegram-коментарі або позитивні відгуки як доказ безпеки. Для інструментів, пов’язаних із криптогаманцями, правило просте: якщо програма обіцяє гарантований прибуток, секретний прогноз або безкоштовний sniper bot, вона може заробляти не для вас, а на вас.
Додатковий контекст є в наших матеріалах про фейкові завантаження Deno RAT, CryptoBandits.A та шкідливі репозиторії GitHub.
FAQ
Чи кожен Aviator Predictor є вірусом?
Ні. Назву можуть використовувати різні сторінки, зокрема низькоякісні gambling-додатки. Але ризик високий, якщо файл прийшов із неофіційного репозиторію, відео, форуму, Telegram-каналу або ZIP-архіву з EXE-файлами.
Що таке криптокліпер?
Це шкідлива програма, яка стежить за буфером обміну та підміняє криптовалютні адреси адресами атакувальника. Помилку часто помічають лише після відправлення транзакції.
Чи достатньо перевірити файл на VirusTotal?
Ні. Результати мультисканера корисні, але фейкова репутація може включати підроблені коментарі та соціальні сигнали. Важливо перевірити джерело, поведінку файлу, автозапуск і те, чи файл уже запускався.
Чи треба створювати новий гаманець?
Якщо ви лише завантажили файл і не запускали його, зазвичай достатньо видалити архів і просканувати систему. Якщо файл запускався, а ви копіювали адреси, підписували транзакції або входили на біржі, створіть новий гаманець на чистому пристрої та змініть пов’язані паролі.
Джерела
- Check Point Research. “From Stars to Upvotes: Fake Reputation Fueling a Crypto Clipboard Hijacker.” Check Point Research, 17 червня 2026, дата звернення: 19 червня 2026. https://research.checkpoint.com/2026/from-stars-to-upvotes-fake-reputation-fueling-a-crypto-clipboard-hijacker/
