Анализ фишинговой кампании FakeMeeting привел к оператору: утечка Gmail в DNS-записях и общий счетчик Google Analytics выдали подставной хостинг

Схема атаки не нова: жертва получает поддельное приглашение на видеоконференцию, попадает на страницу, имитирующую интерфейс Google Meet, затем видит всплывающее окно с требованием обновления, после чего следует поддельная страница Microsoft Store и автоматическая загрузка архива GoogleMeetInstaller.zip. Завершающим этапом является страница-инструкция, которая буквально учит пользователя обойти предупреждения безопасности Windows и запустить полезную нагрузку. Финальный бинарный файл, как уже было задокументировано в публикациях Malwarebytes, Netcraft и других компаний, представляет собой программу удаленного мониторинга Teramind, перепрофилированную в RAT (троян удаленного доступа).

Однако главный вклад нового расследования - не в описании техники, а в выявлении оператора всей инфраструктуры. В ходе работы аналитики обнаружили три решающих свидетельства. Первое - утечка электронной почты в DNS. В SOA-записях (Start of Authority - записи, указывающие ответственного за зону) одиннадцати и более фишинговых доменов значится адрес johnseamus89@gmail.com. Оставить персональный адрес Gmail в служебном поле DNS - грубая ошибка операционной безопасности, которую любой запрос dig SOA тут же раскроет. Второе - открытая регистрация домена googlemeetmenow.us без защиты приватности WHOIS (службы регистрации доменных имен). В данных регистранта значится имя "Terry Johnson". Третье и самое важное - совпадение идентификатора Google Analytics (системы сбора статистики посещений). Один и тот же код G-XDVX0QEYVC оказался встроен как на маркетинговый сайт хостинг-бренда Loominost, так и на фишинговые страницы, размещенные на этой же платформе.

Все тридцать восемь и более фишинговых доменов, зарегистрированных преимущественно через NameSilo и Namecheap, используют nameserver (сервер имен) с префиксом loominost.com. Сама же компания Loominost позиционирует себя как бюджетный реселлер cPanel - "Самый быстрый и дешевый cPanel-хостинг в интернете" от 1,47 доллара в месяц. Под этой легитимной вывеской скрывается тонкий слой поверх серверов Shock Hosting LLC (AS395092, Пискатауэй, Нью-Джерси). Все клиенты Loominost работают на одних и тех же физических машинах fl-s2.serverpanel.com и wa-s1.serverpanel.com. Шесть вариаций nameserver (с ns3 по ns8.loominost.com) - это лишь ребрендинг двух реальных DNS-серверов Shock Hosting.

Привязка хостинг-бренда к оператору стала возможной благодаря общему идентификатору аналитики. Аналитики исходят из двух сценариев: либо один и тот же человек настроил оба сайта (маркетинговый и фишинговые) под одной учетной записью Google, либо кто-то скопировал сниппет отслеживания с одного сайта на другой, случайно объединив данные. Первый вариант более вероятен: оператор вставляет код аналитики в шаблоны cPanel, и каждый новый фишинговый домен, созданный через Loominost, наследует этот идентификатор по умолчанию.

Отдельно стоит отметить, что регистрант домена loominost.com - некий Kevin, Chun Keat Ng из Мельбурна, Австралия. В рамках открытых источников исследователям не удалось однозначно связать эту личность с johnseamus89@gmail.com или "Terry Johnson". Возможны три варианта: тот же самый оператор, использующий два адреса и псевдоним; друг или деловой партнер, зарегистрировавший оболочку; либо легитимный реселлер, чья учетная запись была использована злоумышленником. Инфраструктурная связь (общие nameserver, один арендатор cPanel, один идентификатор аналитики) является жесткой, но для подтверждения личности на человеческом уровне потребуется судебный запрос к Namecheap.

Среди зафиксированных доменов - десятки вариаций на тему Google Meet, Zoom, DocuSign и Paperless Post. Один из них, wp.hotmail101.xyz, представляет собой маркетплейс по продаже учетных записей Hotmail. Соседство на одном хостинг-тенанте фишинговой кампании и торговли аккаунтами типично для оператора, ведущего несколько криминальных предприятий с одной панели управления.

Атака использует выверенную последовательность страниц с фиксированными URL-паттернами: /meeting/invite.php, /microsoft-store.php, /install-guide.php, /update/*.zip. Поддельная страница Microsoft Store содержит пять скриншотов и вымышленные отзывы от "Sarah K.", "Mark T." и "Dana P.". Особенно цинична страница-инструкция, которая прямо учит жертву нажимать "Выполнить" или "Да" на предупреждениях Windows SmartScreen. Вариант для Zoom на домене sec3viewing[.]live даже включает ссылку file:///C:/Users/%USERNAME%/Downloads, чтобы жертва могла одним кликом открыть папку загрузок.

Всё это обслуживается с одного общего почтового IP 104.225.130[.]2, принадлежащего серверу fl-s2.serverpanel.com. SPF-записи всех фишинговых доменов содержат этот IP, что позволяет письмам, отправленным с этого адреса, проходить проверку SPF. Блокировка этого IP на почтовых шлюзах нарушит доставку всех кампаний, работающих с данного сервера. Примечательно, что на соседних IP того же /24 сегмента работают как минимум две другие фишинговые кластеры (финансовый и управление благосостоянием), но они используют собственные nameserver, а не брендированные серверы Loominost.

Таким образом, оператор кампании FakeMeeting создал себе идеальное прикрытие: легально выглядящий хостинг-бренд, собственные nameserver, низкие цены. Однако три описанных якоря атрибуции - утечка Gmail в SOA, незащищенный WHOIS и общий идентификатор аналитики - позволяют любому специалисту по безопасности выявить всю инфраструктуру простым поиском. Идентификатор G-XDVX0QEYVC теперь может служить точкой трассировки: если он появится на любом другом сайте, этот сайт также принадлежит оператору.

Список для блокировки и поиска включает все шесть nameserver (ns3-ns8.loominost.com), основной сервер 104.225.130[.]131, общий почтовый IP 104.225.130[.]2 и адрес электронной почты оператора для жалоб johnseamus89@gmail.com. Для обнаружения новых фишинговых ресурсов аналитики рекомендуют искать в логах DNS SOA-записи с этим Gmail, в прокси-логах - упоминания идентификатора аналитики, а в SPF-записях - IP 104.225.130[.]2.

Данное расследование дополняет публичную картину, которую ранее формировали Malwarebytes, Netcraft и Sekoia, но впервые связывает воедино оператора, его хостинг-фронт и более трёх десятков фишинговых доменов. Сообществу информационной безопасности теперь доступен не просто технический анализ отдельной вредоносной кампании, а полный профиль злоумышленника, допускающего элементарные ошибки операционной безопасности.

IPv4

• 104.225.130.131
• 104.225.130.133
• 104.225.130.134
• 104.225.130.2
• 209.182.224.202

Domains

• ns3.loominost.com
• ns4.loominost.com
• ns5.loominost.com
• ns6.loominost.com
• ns7.loominost.com
• ns8.loominost.com
• wa-s1.serverpanel.com

Emails

• johnseamus89@gmail.com