«Боксерские» приемы: мошенники заработали миллион долларов на брендах авиакомпаний

Мошенники используют шаблонный подход с применением API для создания многочисленных мошеннических сайтов. Основной целевой аудиторией стали американские бренды, включая Delta, AMC Theatres, Universal Studios и Epic Records. Механизм мошенничества следует уже известным схемам job-scam - предложениям подработки с выполнением задач. В данном случае предлагается работа агентом по бронированию авиабилетов с получением комиссионных.

Аналитики обнаружили связь между различными мошенническими кампаниями через организацию-регистранта «Boxer». Помимо Delta, были выявлены сайты, использующие бренды DJI, Accor Hotels, AMC Theatres и 20th Century Fox. Общая сумма входящих транзакций в связанные криптовалютные кошельки превысила 1 миллион долларов с учетом курса на момент анализа.

Домен deltaairlineivip[.]com был зарегистрирован 7 июня через Dominet - регистратора, принадлежащего китайской облачной платформе Alibaba Cloud. В данных регистрации указан «Боксер» из Далласа (США), что стало ключевым идентификатором для отслеживания сотен связанных доменов.

Роль Dominet в инфраструктуре мошенничества вызывает особую озабоченность. В марте 2024 года предыдущее подразделение регистратора Alibaba получило уведомление о нарушении от ICANN. С начала мая 2025 года Netcraft наблюдает растущее использование Dominet злоумышленниками, включая группы Smishing Triad, которые рассылают фишинговые сообщения от имени государственных органов и известных брендов.

Технический анализ показал, что apex-домен deltaairlineivip[.]com имеет CNAME-запись, указывающую на s5d2cm8u[.]xmocloud[.]com, который связан с IP-адресами в сетевых блоках Autonomous System 59371, принадлежащей гонконгской хостинговой компании Dimension Network & Communication Limited (DNC). Netcraft ранее блокировала вредоносный контент, связанный с xmocloud и DNC, включакрипто-мошенничества, поддельные магазины и фишинговые сайты.

Особенностью данного типа мошенничества является его сложность для классификации по стандартам ICANN, который определяет злоупотребления DNS через четыре основные категории, наиболее близкой из которых является фишинг. Однако многоэтапные схемы с заданиями требуют более сложного подхода к обнаружению и реагированию.

Для доступа к платформе мошенников требовался инвайт-код, который обычно распространяется через peer-to-peer мессенджеры. С помощью социальной инженерии исследователям удалось получить код и зарегистрировать аккаунт. Для усиления доверия мошенники разместили на сайте поддельный сертификат инкорпорации.

Механизм мошенничества предлагает пользователям стать VIP-агентом по бронированию авиабилетов с заманчиво низкими ценами. Например, бронирование перелета из Эйндховена в Родос стоимостью 35,83 доллара якобы приносит комиссию 0,71 USDT, хотя реальная стоимость такого билета превышает 100 долларов. Для начала работы требуется внести депозит от 100 до 50 000 долларов в криптовалюте.

Прозрачность блокчейна позволила аналитикам отследить транзакции: примерно 948 000 USDC, 300 000 долларов в ETH, 114 000 в Bitcoin и 3 000 в USDT поступили на кошелек 0xD53529E8. Вероятно, эти суммы включают как payments жертв, так и перемещения средств между счетами злоумышленников.

Ключевой находкой стал JSON-файл с конфигурацией, загружаемый с api[.]hongchengdiany[.]com/font/config. Файл содержит подробные параметры работы сайта, включая размеры комиссий, адреса криптокошельков и фирменную символику. Анализ регистрационных данных «Boxer» и веб-индикаторов позволил выявить дополнительные мошеннические сайты и более 15 конфигурационных файлов с различными брендами, включая Accor, Disney-Pixar и Universal Studios.

Конфигурационные файлы также раскрыли дополнительные кошельки, включая Tron-кошелек с транзакциями на 200 000 USDT, Bitcoin-кошелек на 64 000 долларов и Ethereum-кошелек с поступлениями ERC-20 токенов на 240 000 долларов. Многие конфигурационные файлы не содержат адресов кошельков, что указывает на использование альтернативных платежных механизмов.

Обнаруженный кластер демонстрирует высокую степень автоматизации и масштабируемости мошеннических операций, использующих доверие к известным брендам и растущую популярность удаленной работы.

Domains

• all-accorli.com
• amblinil.com
• amctheatreilu.com
• DeltaAirlineiVIP.com
• epicrecorlvip.com
• fp40.com
• universalstudioworksite.com