Специалисты компании Group-IB в ходе анализа мошеннических кампаний на Ближнем Востоке и в Северной Африке выявили централизованную платформу фишинга как услуги (PhaaS - модель предоставления готовых инструментов для кражи данных и атак). Платформа получила название SniperDz. Она предлагает партнёрам более 80 готовых шаблонов, имитирующих свыше 30 известных мировых брендов. Среди них - PayPal, Facebook*, Instagram*, Netflix и Steam. Такая библиотека позволяет злоумышленникам запускать кампании без глубоких технических знаний. Достаточно выбрать шаблон и распространить ссылку через социальные сети.
Описание
Атаки используют доверие к публичным фигурам и популярным сервисам. На Facebook* и Instagram* мошенники создавали поддельные аккаунты политиков, знаменитостей и телекоммуникационных компаний. Жертвам обещали бесплатный мобильный интернет, компенсации или субсидии. Перейдя по ссылке, пользователь попадал не на обещанный ресурс, а в многоступенчатую цепочку перенаправлений. На первом этапе ссылки вели на легитимные платформы-агрегаторы вроде Linktree или Linkbio. Эти сервисы используются для хранения нескольких ссылок в одном профиле. Мошенники создавали там страницы-приманки, которые выглядят как настоящие рекламные акции.
Затем жертву перенаправляли на контролируемый злоумышленниками домен. Там пользователь видел минималистичную страницу с индикатором загрузки и просьбой нажать "Разрешить", чтобы продолжить. На самом деле это была стандартная процедура получения разрешения на push-уведомления браузера. Если человек нажимал "Разрешить", скрипт регистрировал подписку с использованием публичного ключа VAPID (идентификатор сервера уведомлений). Тот же ключ обнаружили во всех проверенных образцах, включая кампании в Алжире и инвестиционные схемы в нескольких регионах. Такая повторяемость позволила исследователям связать разрозненные атаки с единой экосистемой.
Даже если пользователь понимал, что происходит ловушка, выбраться становилось трудно. Код страницы содержал манипуляцию историей браузера: в список посещённых страниц вставлялось десять фиктивных записей. Кнопка "Назад" переставала работать как обычно. Вместо возврата на предыдущий сайт человек циклически перемещался между ложными страницами. Дополнительно использовался метод tab-under: если жертва открывала ссылку в новой вкладке, исходная вкладка через несколько секунд незаметно перенаправлялась на другой сайт из той же мошеннической сети.
Монетизация трафика была выстроена как гибкая система. В зависимости от устройства жертвы, её местоположения и мобильного оператора система выбирала один из нескольких сценариев. В одних случаях пользователю предлагали позвонить на номер для "подтверждения выигрыша" - на деле звонок шёл на платную линию, стоимость которой списывалась со счёта мобильного телефона. В других случаях жертву вовлекали в подписку на премиум-SMS с регулярными списаниями. Кроме того, мошенники перенаправляли трафик на фальшивые инвестиционные платформы, где предлагали вложиться в криптовалюты или акции. Там собирали персональные данные - имя, почту, телефон - и в дальнейшем использовали их для повторного мошенничества или продавали другим партнёрам.
Group-IB в своём отчёте подробно описывает инфраструктуру SniperDz. Помимо доменов win.feezossl[.]xyz и win.anababayala[.]com, исследователи нашли ещё один сайт - aff.bnaosf1he[.]shop, использовавшийся в кампании, имитирующей политического деятеля. Все эти домены размещались на IP-адресах хостинг-провайдера Horizon IQ. При сопоставлении данных выяснилось, что эти адреса связаны более чем с 900 подозрительными доменами. Один из IP-адресов - 65.60.9[.]236 - через исторические DNS-записи оказался связан с доменом offer.raviral[.]com, ранее идентифицированным как часть экосистемы SniperDz. Таким образом, платформа представляет собой не просто набор шаблонов, а целый "трафик-брокер", который перераспределяет жертв по самым прибыльным каналам.
Выводы исследования показывают, что современные мошеннические схемы всё чаще отказываются от вредоносного кода в пользу злоупотребления легитимными технологиями. Вместо заражения устройств злоумышленники используют доверие к известным брендам, социальную инженерию и функции браузеров. Платформа SniperDz - наглядный пример такого подхода. Она позволяет автоматизировать обход систем безопасности социальных сетей и антифишинговых фильтров. Борьба с подобными угрозами требует не только анализа инфраструктуры, но и повышения осведомлённости пользователей. Важно помнить, что настоящие компании не требуют разрешений на браузерные уведомления ради акций и не проводят многоступенчатых перенаправлений через сторонние сервисы.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
IPv4
- 108.178.23.118
- 184.154.10.254
- 65.60.9.236
Domains
- aff.bnaosf1he.shop
- raviral.com
- win.anababayala.com
- win.feezossl.xyz