В интернете работает крупнейшая из известных на сегодня сетей фишинговых магазинов. Она насчитывает более 4800 поддельных точек продаж, каждая из которых копирует внешний вид и ассортимент реальных брендов - от Starbucks до Ford и Lego. Все средства оплаты уходят на один сервер в Молдове. Кампания активна с августа 2025 года и продолжает расширяться.
Описание
Независимый исследователь Хантер Хивилин (Hunter Heaivilin) занимается картографированием этой инфраструктуры с момента её появления. Он передал собранные данные компании Sansec, специализирующейся на мониторинге угроз для электронной коммерции. В своей работе Хивилин идентифицировал свыше 4800 доменов в зоне .shop, каждый из которых имитирует один из сотен известных брендов. Среди них Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney, Toyota, Nike, DJI, Pokemon, Fender, Steve Madden, Acer, Yamaha Motor, AMC Theatres и многие другие. Ассортимент магазинов скопирован с реальных каталогов Shopify - злоумышленники просто загружают товары с настоящих сайтов.
Техническая схема построена на платформе Medusa.js - это открытый коммерческий фреймворк для создания интернет-магазинов. Каждый магазин загружает одинаковый набор клиентских скриптов, в том числе специальный SDK (набор средств разработки) для оплаты. Этот SDK при оформлении заказа внедряет на страницу поддельный фрейм iframe (встраиваемый элемент страницы), который визуально неотличим от настоящего платёжного интерфейса Stripe. Покупатель вводит номер карты, срок действия, CVV-код и платёжные реквизиты прямо в этот поддельный элемент. Вся информация тут же отправляется на командный сервер (C2) по зашифрованному протоколу WebSocket, причём используется шифрование AES-256-GCM. Сервер C2 расположен у хостинг-провайдера AlexHost в Молдове (IP 80.97.160.51).
Особую опасность представляет механизм обхода 3D Secure. Если банк покупателя запрашивает дополнительную проверку по протоколу 3DS, сервер злоумышленников перехватывает этот вызов и ретранслирует его обратно покупателю через тот же поддельный iframe. Транзакция завершается, и владелец карты не замечает подмены. Таким образом, данные карты оказываются в руках мошенников, а деньги списываются с легитимного счёта.
Сеть прошла два этапа эволюции бэкенда. Первое поколение, работавшее с января по март 2026 года, использовало единую базу данных Medusa.js для всех магазинов. Это означало, что любой, кто получал один публичный API-ключ, мог перечислить весь каталог жертв - более 500 брендов из пяти регионов. Второе поколение, запущенное 30 марта 2026 года, разворачивает отдельный экземпляр Medusa.js для каждого магазина с собственным ключом. Уязвимость перечисления каталогов устранена, но фронтенд, CSS-бандл и сам скиммер остались прежними. Поэтому вся сеть по-прежнему легко идентифицируется по уникальному CSS-файлу (d482fd41f7f1f379.css) и SDK с именем payment-vanilla.iife.js.
Исследователи из urlscan.io находят более 6000 сканов, соответствующих этому CSS-отпечатку. Значит, реальное число магазинов может превышать подтверждённые 4880.
Скиммер-код содержит строки ошибок на китайском языке. Административная панель сервера C2 идентифицируется как BaoTa (aaPanel) - популярная в азиатском регионе панель управления хостингом. Эти косвенные признаки указывают на возможное происхождение операторов.
Один сервер используется сразу для нескольких преступных схем. На TLS-сертификате этого IP-адреса указаны 23 домена. Часть из них - это .shop-домены сети GorgonAgora. Другая часть - домены в зоне .top (batppp*.top, onepay*.top, newpay*.top). На них работает параллельная лотерейная схема, которая собирает номера социального страхования (SSN) и реквизиты банковских счетов жителей США. Таким образом, один и тот же сервер управляет и кражей данных карт, и похищением персональной информации для вывода денег со счетов.
Кампания GorgonAgora показывает, насколько профессиональными стали современные финансовые мошенники. Они не просто копируют внешний вид магазина - они воспроизводят всю цепочку: каталог, оформление заказа, платёжный интерфейс, 3D Secure. Пользователь может до последнего момента не подозревать, что вводит данные на поддельном сайте. Единственный способ защиты - проверять URL в адресной строке, не переходить по ссылкам из рекламы и писем, а также использовать отдельные виртуальные карты для покупок в малоизвестных магазинах. Для владельцев брендов эта угроза означает необходимость мониторинга поддельных доменов и быстрой реакции на фишинговые копии их сайтов.
Индикаторы компрометации
IPv4
- 207.246.96.240
- 80.97.160.51
Domains
- acerhq.shop
- amctheatresonline.shop
- b8ed836d.sni.cloudflaressl.com
- batppp26.top
- batppp556.top
- buymattelcreations.shop
- buynikestrength.shop
- buypokemon4ever.shop
- buythepokemonshop.shop
- disneyartonmainstudio.shop
- djistoreusstore.shop
- djiusacentral.shop
- dysimasyd.shop
- fendertech.shop
- fordmerchandisehub.shop
- fordmerchandiseonline.shop
- fordmerchandisestore.shop
- getharrypotter.shop
- getufcgym.shop
- hasbrotoyland.shop
- hidoslsk.shop
- hivuwnd.shop
- indaspands.shop
- kihdsmas.shop
- kimsjafw.shop
- legolandnyco.shop
- longpih.shop
- loveuina.shop
- mattelcreationshq.shop
- mattelplay.shop
- minkadsus.shop
- mymattelcreations.shop
- newpay115.top
- officiallegolandcalifornia.shop
- officialmattelcreationsuk.shop
- onepay114.top
- onepay178.top
- onepay234.top
- onepay58.top
- pokemoncgo.shop
- pokemonshopworld.shop
- shoppokemon.shop
- shopsonymusiclatin.shop
- shopstarbuckscoffee.shop
- shopstevemaddenisrael.shop
- sonyworlddirect.shop
- sonyworldelectronics.shop
- starbucksofficial.shop
- stevemaddenisraelstore.shop
- thesonymusicvinyl.shop
- toyotagazooracingofficial.shop
- ufcgymstore.shop
- wearstevemadden.shop
- yamahamotordirect.shop
- yamahamotorindiastore.shop
- yumigdjsna.shop
SHA256
- 05f74c23ac2b6b750c3f5ed33c23ef79a086651965695d43d0e0510c32db6efa
- e6c60ca4f996b209bbaf7429182d7ed76acf761bb9c1de63486fcb76635fa58c