«1Campaign»: Новая платформа для обхода проверок Google Ads помогает злоумышленникам в массовых атаках

Индустрия кибербезопасности сталкивается с постоянной эволюцией инструментов злоумышленников, которые становятся всё более доступными и технологичными. Особую тревогу вызывают сервисы, позволяющие автоматизировать и масштабировать фишинговые кампании, обходя встроенные защиты крупнейших интернет-платформ. Исследователи Varonis Threat Labs обнаружили активную операцию под названием «1Campaign» - полноценную платформу для скрытия вредоносного контента (cloaking), специально разработанную для злоупотребления рекламной сетью Google. Этот сервис представляет собой опасную тенденцию: конвергенцию инструментов мошенничества с рекламой и инфраструктуры для фишинга в едином решении, доступном по подписке.

Описание

Суть угрозы: Как работает платформа 1Campaign

В основе 1Campaign лежит техника клоакинга (cloaking), когда разным посетителям показывается разный контент. Платформа анализирует каждого посетителя в реальном времени и принимает решение, что ему показать. Системы безопасности, исследователи, а также автоматические сканеры и проверяющие со стороны рекламных платформ видят безобидную «белую» страницу, которая соответствует политикам. В то же время реальные жертвы - обычные пользователи - перенаправляются на фишинговые страницы, сайты с программами-вымогателями или крипто-дренажеры (специальные скрипты для кражи криптовалюты). Это позволяет мошенническим рекламным кампаниям успешно проходить первоначальную модерацию Google Ads и оставаться активными максимально долго до ручного блокирования.

Платформа, разработчик которой известен под псевдонимом DuppyMeister и поддерживает её через Telegram-каналы уже более трёх лет, предлагает злоумышленникам единую панель управления с расширенным функционалом. Помимо базового клоакинга, она включает в себя аналитику в реальном времени, профилирование посетителей, оценку мошеннического риска (fraud scoring), географическое таргетирование и даже генератор скриптов для защиты от ботов.

Технический анализ: Фильтрация посетителей и система оценки риска

Ключевой компонент 1Campaign - это сложная система фильтрации, которая эффективно идентифицирует и блокирует нежелательный трафик. Каждому посетителю присваивается оценка риска (fraud score) от 0 до 100. Трафик, исходящий от известных облачных провайдеров и компаний в сфере информационной безопасности, таких как Microsoft, Google, Tencent Cloud Computing, OVH Hosting, а также из дата-центров и публичных VPN-сетей, автоматически помечается высоким баллом и блокируется. Система использует для идентификации диапазоны IP-адресов, данные об интернет-провайдерах (ISP) и поведенческие паттерны.

В логах платформы, изученных исследователями, видна высокая эффективность этой фильтрации. Например, в одной из кампаний под названием «Blockbyblockchain» из 1676 посетителей доступ к реальному вредоносному контенту получили только 10, что составляет показатель успешности в 0,6%. Остальные 99,4% были заблокированы как сканеры или исследователи. В журнале посетителей фиксируются IP-адрес, геолокация, компания или провайдер, тип устройства, флаги безопасности, оценка риска и конечный URL. Интересно, что некоторые запросы от Microsoft, имеющие оценку риска 0, всё равно блокируются, что говорит о наличии у платформы дополнительных статических правил для распознавания автоматических систем.

Целевая аудитория атак и инструменты для Google Ads

Операторы кампаний могут тонко настраивать таргетинг, ограничивая показы по странам и типам устройств. Это позволяет злоумышленникам фокусироваться на жертвах в определённых регионах, где их фишинговый контент наиболее релевантен, и одновременно отсеивать трафик из стран, где сосредоточено большинство исследовательских и сканирующих систем.

Отдельный и крайне опасный модуль платформы - это так называемый «лаунчер» Google Ads. Он позиционируется как инструмент для запуска как «чёрных» (вредоносных), так и «белых» (легальных) рекламных кампаний. Разработчик заявляет, что функция позволяет обходить политические ограничения Google Ads и запускать объявления «от имени кого угодно, используя любые тексты или слова». Это напрямую способствует масштабному рекламному мошенничеству (ad fraud), позволяя атакующим выдавать себя за легальные бренды и сервисы в рекламных объявлениях, уклоняясь от автоматического контроля политик.

Контекст и последствия: Почему 1Campaign - это опасный тренд

1Campaign вписывается в растущий тренд коммерциализации инструментов для кибератак. Такие многофункциональные платформы, как Spiderman для фишинга банков или FishXProxy, использующий инфраструктуру Cloudflare, значительно снижают порог входа для злоумышленников, не обладающих глубокими техническими знаниями. Уникальность 1Campaign заключается в её явной ориентации на злоупотребление именно рекламными системами, в первую очередь Google Ads. Это представляет собой опасную конвергенцию: платформа одновременно помогает обмануть рекламную платформу и защитить фишинговую инфраструктуру от обнаружения.

Основной метод распространения, который обеспечивает 1Campaign, - это малвертайзинг (malvertising). Атакующие покупают легальные рекламные места в поиске Google, Bing или социальных сетях, чтобы направлять трафик на вредоносные страницы. Поскольку система клоакинга отфильтровывает и проверяющих со стороны рекламной сети, и сканеры безопасности, такие объявления успешно проходят модерацию и работают до тех пор, пока их не заблокируют вручную по жалобам пользователей. К этому моменту злоумышленники уже успевают похитить учётные данные, распространить вредоносное ПО или опустошить криптокошельки жертв.

Рекомендации для специалистов по безопасности

Платформы вроде 1Campaign напрямую подрывают традиционные методы обнаружения фишинга. Статические сканеры URL, сервисы защиты брендов и автоматические краулеры эффективно идентифицируются и отсеиваются ещё до того, как увидят реальный вредоносный контент. Блокировка более 99% «нежелательного» трафика, видимая в статистике платформы, наглядно демонстрирует эту эффективность.

Логика фильтрации работает на нескольких уровнях: репутация IP-адресов (блокировка известных дата-центров и VPN), идентификация провайдера (флагование по номеру автономной системы ASN), снятие цифровых отпечатков браузера (детектирование headless-браузеров) и поведенческий анализ (отсев быстрых переходов, отсутствие выполнения JavaScript).

Для команд, занимающихся обнаружением угроз, это означает, что полагаться исключительно на статическое сканирование URL становится ненадёжно. Эффективный анализ клоакинг-инфраструктуры требует эмуляции реалистичного поведения пользователя, включая использование различных цифровых отпечатков и паттернов взаимодействия с сайтом. Автоматизированные системы должны ротировать пулы IP-адресов и конфигурации user-agent, чтобы избежать постоянной идентификации. По словам исследователей Varonis, именно такой подход, реализованный в их песочнице для анализа фишинга Interceptor, позволяет увидеть то, что платформы клоакинга стремятся скрыть, имитируя поведение реального пользователя вплоть до заполнения форм и прохождения проверок CAPTCHA. В условиях растущей автоматизации атак со стороны злоумышленников, аналогичный, активный и реалистичный подход становится критически важным для своевременной защиты.