Крупная кампания фейковых интернет-магазинов угрожает покупателям по всему миру

Аналитики обнаружили 244 домена, зарегистрированных с начала года. Инфраструктура кампании распределена между 43 регистраторами и несколькими хостинг-провайдерами. Операция хорошо структурирована и использует сервисы приватности WHOIS для сокрытия атрибуции. Основная часть инфраструктуры связана с китайскими провайдерами. Пик регистрации пришелся на октябрь, что совпадает с подготовкой к глобальным распродажам, таким как Black Friday и Singles’ Day.

Регистраторами с наибольшим количеством доменов от злоумышленников стали West263 International Limited, Dynadot Inc и NameSilo, LLC. При этом в 79 случаях в качестве страны регистранта указан Китай. Часто мошенники указывали европейские или американские адреса, однако техническая инфраструктура через IP и ASN (Autonomous System Number) однозначно вела к китайским хостам.

Ключевым элементом инфраструктуры стал сервер имен ns1.dyna-ns.net, использованный для 33 доменов. Анализ показывает, что злоумышленники массово "паркуют" домены на общих серверах, что указывает на автоматизированный процесс. Затем они быстро развертывают фишинговые сайты или перенаправляют жертв на страницы с вредоносной нагрузкой (malicious payload).

Техники кампании включают в себя точное копирование дизайна и структуры сайтов известных ритейлеров, таких как Zalando, Birkenstock и Lululemon. Для привлечения трафика активно используются платные рекламные кампании в социальных сетях, включая TikTok и Facebook, а также в Google Shopping.

Особый интерес представляют несколько специфических тактик. Во-первых, это создание сайтов с двусмысленным брендингом. Например, домен lululemonsalehub[.]com рекламировал средства для волос, что не имеет отношения к реальному бренду спортивной одежды. Во-вторых, наблюдались попытки использовать социально-политическую повестку. Сайт peaceforsecurity[.]com, маскирующийся под магазин женской одежды, возможно, пытался эксплуатировать тему благотворительности. В-третьих, массово создавались примитивные сайты-ловушки с грамматическими ошибками и бессмысленными названиями, предлагавшие "бесплатную доставку" для сбора платежных данных.

Основной целью является прямое финансовое мошенничество. Однако в некоторых случаях поддельные системы оплаты на сайтах могут использоваться для распространения вредоносного ПО, например, шифровальщиков (ransomware). Таким образом, кампания представляет двойную угрозу: кражу денег и компрометацию устройств пользователей.

Специалисты PreCrime™ Labs уже предприняли ответные меры. Все выявленные домены были переданы регистраторам и хостинг-провайдерам для блокировки. Многие кластеры инфраструктуры сейчас не функционируют. Индикаторы компрометации (IOCs) добавлены во внутренние системы мониторинга для автоматического обнаружения. Эксперты предупреждают, что необходима постоянная бдительность, так как операторы кампании демонстрируют высокую степень автоматизации и устойчивости. В фокусе мониторинга остаются домены в зонах .xyz, .shop, .top и .store, а также новые тенденции, такие как использование зон .asia и .vip.

Данная кампания является примером высокоорганизованной модели "инфраструктура как сервис" для мошенничества в сфере розничной торговли. Скоординированные действия через множество сервисов указывают на профессиональную преступную операцию с финансовыми, а возможно, и более сложными мотивами. Потребителям следует проявлять особую осторожность при переходе по рекламным ссылкам во время крупных распродаж и всегда проверять подлинность доменного имени интернет-магазина.

Domains

• gymclothes980.store
• lululemonsalehub.com
• mango-flashsale.com
• motionsport352.store
• peaceforsecurity.com
• runningsport541.store
• runningtrack679.site
• sportwears307.store
• wearsport075.store
• www.gymclothes980.store