В мае 2026 года румынский государственный портал оплаты услуг Ghișeul.ro опубликовал публичное предупреждение о безопасности. Причиной стали жалобы граждан на мошеннические SMS-сообщения, якобы отправленные от имени платформы. Однако это предупреждение указывало на нечто гораздо более масштабное.
Описание
Специалисты компании Hunt.io, используя базу данных краулера и средства IP-анализа, проследили эту единую кампанию по подделке сообщений до скоординированной операции SMS-фишинга. Как выяснилось, она охватила 19 стран Европы, Америки и Кавказа. Одна и та же инфраструктура, которая атаковала румынских налогоплательщиков, одновременно нацеливалась на клиентов службы доставки DPD в Великобритании и Ирландии, порталы дорожной полиции в Болгарии и Армении, налоговые органы Греции и абонентов T-Mobile в Соединенных Штатах.
Результаты расследования оказались впечатляющими. Специалисты подтвердили активность 1628 вредоносных URL-адресов. Все они действовали в 19 странах и затрагивали множество секторов. Ключевым звеном, связывающим всю операцию, стал уникальный идентификатор кампании, встроенный в HTML-код каждой страницы. География целей охватила три региона: Европу (Румыния, Великобритания, Ирландия, Испания, Франция, Болгария, Словения, Латвия, Греция, Северная Македония, Литва, Эстония, Албания, Косово, Черногория), Америку (США, Тринидад и Тобаго) и Кавказ (Грузия, Армения).
Инфраструктура злоумышленников оказалась хорошо продумана. В ходе расследования Hunt.io выявила 32 серверных IP-адреса, распределенных по шести географическим регионам. Вычислительные мощности были размещены на четырех платформах: Tencent Cloud (15 IP-адресов), Alibaba Cloud (три адреса), Cloudflare CDN (14 адресов) и ALEXHOST в Молдове (два адреса). Такой разброс по разным юрисдикциям и провайдерам создает дополнительные сложности для блокировки и правового преследования.
Анализ показал, что в кампании использовались два различных фишинговых шаблона. Первый представлял собой современное одностраничное приложение на Vue.js, применявшееся для большинства доменов. Второй был клоном на основе Bootstrap, который, судя по всему, был скопирован прямо с легитимного сайта Ghișeul.ro. Однако главной находкой стал единый 128-символьный хэш метаданных, присутствующий на всех 1628 URL-адресах. Этот хэш служит постоянным отпечатком кампании, позволяя отслеживать появление новой инфраструктуры в режиме реального времени.
Как именно проходила атака? Исследователи воссоздали четырехэтапный процесс, через который проводили жертву. На первом этапе пользователь попадал на убедительную копию официального портала Ghișeul.ro. Страница содержала фирменный стиль, элементы навигации и значок "Официальная онлайн-служба". Жертве предлагали ввести номер автомобиля для проверки штрафов. Второй этап создавал чувство срочности. После ввода номера система генерировала вымышленные данные о штрафе за превышение скорости, указывая конкретную сумму (420 румынских леев, около 84 евро), номер дела и дату. Страница содержала юридически звучащие ссылки на несуществующие законы и предупреждения о пенях за просрочку. Третий этап представлял собой профессионально выглядящий интерфейс оплаты, где жертву просили ввести полные данные банковской карты: имя владельца, 16-значный номер, срок действия и CVV-код. На четвертом этапе после отправки данных появлялся экран загрузки с анимированным индикатором. Он создавал иллюзию обработки платежа, в то время как вредоносная программа передавала украденные данные злоумышленникам. К моменту, когда жертва понимала, что произошло, данные карты уже были скомпрометированы.
Примечательно, что кампания не ограничилась штрафами. В разных странах использовались различные легенды. В Испании атаковали клиентов службы доставки SEUR, в Великобритании - программу лояльности Tesco, в Албании - абонентов Vodafone. Такой подход свидетельствует о высоком уровне организации и адаптации к местным условиям.
Последствия для пострадавших могут быть серьезными. Кража данных банковских карт напрямую ведет к финансовым потерям. Кроме того, сбор номеров автомобилей и личной информации создает базу для дальнейших, более целевых атак или продажи данных в даркнете. Сложность борьбы с этой угрозой усугубляется распределенной инфраструктурой. Использование облачных провайдеров, в том числе китайских, может осложнить взаимодействие правоохранительных органов разных стран.
Кампания остается активной. Злоумышленники продолжают регистрировать новые домены и менять серверы. Для защиты специалистам по безопасности рекомендуется в первую очередь отслеживать 128-символьный хэш кампании, так как он является универсальным маркером для всех мошеннических страниц. Поиск по этому хэшу в системах мониторинга позволит обнаруживать новые URL-адреса до того, как они будут заблокированы. Обычным пользователям важно помнить: ни один государственный портал не рассылает требования об оплате через SMS. Любое сообщение, создающее срочность и содержащее ссылку, почти наверняка является мошенническим. Внимательная проверка доменного имени - единственная надежная защита, которую подделать невозможно.
Индикаторы компрометации
IPv4
- 104.21.16.182
- 104.21.23.164
- 104.21.34.64
- 104.21.61.204
- 104.21.75.129
- 104.21.80.54
- 104.21.83.233
- 172.67.136.71
- 172.67.137.96
- 172.67.156.124
- 172.67.196.175
- 172.67.199.16
- 172.67.206.239
- 43.153.72.244
- 43.157.122.50
- 43.157.17.77
- 43.157.25.170
- 43.157.64.211
- 43.157.91.129
- 43.160.221.174
- 43.160.242.3
- 43.160.250.19
- 43.165.1.208
- 43.165.3.200
- 43.165.4.234
- 43.165.4.68
- 43.165.62.39
- 43.173.74.207
- 47.245.142.76
- 47.254.147.205
- 47.91.88.57
- 80.96.58.119
- 80.96.58.68
Domains
- dpd.ie-com.vip
- dpde.lat
- dpdlv.bond
- dpd-lv.top
- dsvag.sbs
- dsvav.cfd
- dsvcv.cfd
- dsvxk.cyou
- e.csdd.govlv.cam
- e-csddlv.top
- e-uprava.gov-si.shop
- fanveris.cyou
- ghisaul.lat
- ghiseal.lat
- ghiseul.ro
- ghizeul.lat
- gobal-store-hub.shop
- gove.lat
- govh.lat
- govj.lat
- govk.lat
- govl.lat
- govo.lat
- govsi.bar
- gov-si.cam
- gov-si.qpon
- gov-si.sbs
- gov-si.xin
- hoiatustrahv.politsei.gov-ee.bond
- mvr.govmk.cam
- mvr.govmk.one
- mvr.lat
- mvrbg.ink
- mvrbg.life
- mvrbg.sbs
- mvrcc.lat
- mvr-gov-mk.cyou
- mvri.lat
- mvrx.lat
- roadpolice-am.icu
- roadpolice-am.shop
- roadspolice.lat
- seur-bcdef.cc
- seur-cztwp.club
- seur-fghij.org
- seur-fqlap.cyou
- seur-hijkl.cc
- seur-hxrz.org
- seur-jwqec.link
- seur-rmvxq.club
- seur-rxkmd.cyou
- seur-yzabc.com
- seur-zkryw.cloud
- sumin.lrv-lt.shop
- tesco-redeem-check.bond
- vodafaone.shop
- worldmartonline.com
URLs
- http://ghisaul.lat/ro
- http://ghiseul.cfd/pay
- http://ghiseul.eu.cc/pay
- http://ghiseul-ro.cyou/
- http://ghiseul-ro.sbs/
- http://ghiseul-ro.shop/
- https://ghiseal.lat/ro/
- https://ghiseal.lat/ro/#/index.
- https://ghiseul.autos/ro/
- https://ghiseul.cyou/pay
- https://ghisiul.lat/ro/
- https://ghizeul.lat/ro/
- https://www.ghiseul.govro.one/ghiseul/public/
- https://www.ghiseul.ro/ghiseul/public/
- https://www.ghiseul-ro.bond/ghiseul/public/
- https://www.ghiseul-ro.cfd/ghiseul/public/
- https://www.ghiseulro.cyou/ro/