Маскировка доменов и искусственный интеллект: кибермошенники используют легальные трекеры для глобальных атак

За последние полгода специалисты компаний Infoblox и Confiant провели масштабное исследование, чтобы оценить уровень и характер злоупотреблений коммерческим трекером Keitaro. Результаты оказались ошеломляющими. За четыре месяца наблюдений, начиная с октября 2025 года, было зафиксировано тысячи вредоносных инстансов Keitaro, которые использовались для распространения программ-вымогателей, фишинга и, что наиболее массово, инвестиционных мошенничеств. За этот период для подобных атак активно применялось около 15 500 доменных имён. Трафик на эти ресурсы направлялся через скомпрометированные сайты, спам-рассылки, социальные сети и рекламные сети, что свидетельствует о диверсифицированных и продуманных схемах привлечения жертв.

Доминирующей угрозой в этом пространстве стали инвестиционные скамы, которые претерпели серьёзную эволюцию. Если раньше мошенники использовали шаблонные сайты с фальшивыми отзывами, то сегодня в центре их нарратива - искусственный интеллект. Страницы-ловушки пестрят заявлениями о "продвинутых ИИ-алгоритмах", сулящих баснословную прибыль от автоматической торговли на финансовых рынках. Более того, акторы активно внедряют технологии глубокой подделки видео - дипфейки. С помощью ИИ создаются реалистичные ролики, где известные телеведущие или публичные лица якобы рекламируют мошеннические платформы. Это придаёт аферам видимость легитимности и срочности, резко повышая эффективность социальной инженерии.

Одним из ярких примеров является группировка, которую Confiant отслеживает под условным названием FaiKast. С мая 2025 года эти злоумышленники создают дипфейки новостных ведущих, например, с канадского телеканала CBC, чтобы продвигать фальшивые криптоплатформы с названиями вроде Pyravelon или Quantum AI. Жертвы, переходя по рекламе, попадают на идеально скопированные сайты реальных новостных агентств, что окончательно снимает возможные подозрения. Другая группа, WickedWally, специализируется на целевых атаках на граждан США, особенно пожилых, предлагая фальшивые программы помощи по долгам или Medicare. Их рекламные креативы также используют дипфейки, стилизованные под экстренные новостные выпуски.

Роль платформы Keitaro в этих схемах критически важна. Это саморазмещаемый трекер с богатым функционалом для условного перенаправления трафика. Злоумышленники настраивают сложные правила: если система определяет, что посетитель соответствует целевым параметрам - определённая геолокация, тип устройства, отсутствие признаков сканирования - он перенаправляется на мошеннический лендинг. Все остальные, включая исследователей безопасности и ботов, видят безобидную "белую" страницу или легальный контент. Этот механизм маскировки позволяет кампаниям долго оставаться активными, уклоняясь от обнаружения системами защиты.

Интересно, что анализ тысяч атакующих инстансов показал любопытную закономерность в маршрутизации трафика. Независимо от местоположения и устройства жертвы, финальная страница-ловушка чаще всего отображается на ограниченном числе языков, в основном на русском и английском. Это может указывать либо на целенаправленный выбор аудитории атакующими, либо на ограниченность их лингвистических и операционных возможностей. При этом многие кампании носят глобальный характер, а некоторые акторы, как отмечают аналитики Confiant, целенаправленно фокусируются на аудитории из США.

Важным аспектом исследования стала проверка реакции компании-разработчика Apliteni на сообщения о злоупотреблениях её продуктом. Keitaro так долго ассоциируется с вредоносной активностью, что в сообществе возникали вопросы о возможной "пуленепробиваемости" платформы для киберпреступников. Однако практика показала иное. С августа 2025 года исследователи направили более сотни отчётов о злоупотреблениях, и компания оперативно и тщательно реагировала на каждый запрос. В результате были заблокированы аккаунты более десятка угрозных акторов. Условия лицензирования Keitaro Tracker прямо запрещают "вводящий в заблуждение" контент, что даёт юридические основания для прекращения обслуживания. Более того, во многих случаях обнаруженные вредоносные инстансы использовали нелицензионные, пиратские копии программного обеспечения, что подтвердилось в ходе совместного расследования с Keitaro.

Глава отдела Trust and Safety компании Keitaro, Григорий, в комментарии для исследования подчеркнул: "В Keitaro мы стремимся поддерживать профессиональную и безопасную среду для легитимного маркетинга. Наша стратегия основана как на реактивных, так и на проактивных мерах... Тот факт, что акторы не восстанавливают работу после нашего вмешательства, подтверждает, что наш подход работает". Этот опыт сотрудничества между вендором и исследователями безопасности является позитивным примером того, как можно противодействовать злоупотреблениям легальными инструментами.

Итогом проведённой работы становится ясное понимание новой реальности. Угрозные акторы превратили маскировку доменов в конвейер по доставке бесконечного потока вредоносного контента пользователям по всему миру. Keitaro Tracker - лишь один из часто выбираемых ими инструментов, наряду с другими коммерческими трекерами. Сочетание старой, как мир, схемы финансового мошенничества с современными технологиями - условной маршрутизацией трафика, генеративным ИИ для создания контента и глубокими подделками - создаёт мощный симбиоз. Эта комбинация позволяет обходить традиционные сигнатурные средства защиты и существенно повышает конверсию атак. Защитникам необходимо смещать фокус с простого блокирования доменов на анализ поведения трафика, аномалий в рекламных цепочках и активно использовать телеметрию из различных источников - DNS, спам-трафика и сканирования веб-контента - для выявления сложных многоступенчатых кампаний. Борьба с такой угрозой требует постоянной кооперации между провайдерами безопасности, рекламными экосистемами и самими разработчиками потенциально уязвимых к злоупотреблению платформ.

Domains

• argea-ai.org
• attgenius.com
• au.lpa1.star-boostmedia.com
• autopilotatt.com
• autotradeatt.com
• bitget-passive-income.com
• cardanocrypto.ch
• cash-revenue.xyz
• clarozenvix.com
• cognithic.com
• crypto-nsw-app-au.com
• cryptopassive-swiss-switzerland.org
• echoatt.com
• el-camino-trader.com
• empowerementplan.com
• financialmatcher.com
• fin-zen-ai.com
• funds-allowance.com
• funds-treasure.com
• fzclbsmartcbeaa.com
• gentlevector.com
• ggkngpssanil.com
• igniteatt.com
• kyvaronedge82.com
• logithrive.com
• lumitexaicloud.com
• lumitexaihub.com
• lumitexbasex.com
• lumitexchainai.com
• lumitexconnectx.com
• lumitexflowx.com
• lumitexgridx.com
• lumitexinsightai.com
• lumitexlaunchx.com
• lumitexstackai.com
• lumitexsyncai.com
• marrowcliff.org
• mcdpwmachineylpdn.com
• mizuai.org
• myhomequote.xyz
• nestledawn.org
• newton-passive-income.net
• nexiroka.net
• northernavenue.info
• nuve-ai-invest.vip
• nuvei-bot-neway.org
• nuvei-bot-neway.vip
• opulatrix.ch
• owleblo.net
• pl.star-boostmedia.com
• plumaclean.com
• pol.star-boostmedia.com
• powerquizmaster.com
• profitlyatt.com
• quietbotatt.com
• rocketatt.com
• samsosi.net
• star-boostmedia.com
• synatra-nexus.com
• thrygate.com
• tmgmaiwwta.com
• toonie-bot.com
• tradefyatt.com
• tradingideasai.com
• tradingideasfromai.com
• truenorth-yachts.com
• tryhappycards.ru
• veltimo-ai.com
• vwyitsensorjieho.com
• wealthlift.click
• wirbeldappix.ch
• wizardatt.com
• yieldup.ch
• yourluckycard.ru
• yoxjsensordkzb.com
• zoizagricultureciva.com