Эксперты по кибербезопасности компании Palo Alto Networks обнаружили масштабную фишинговую кампанию, нацеленную на любителей роскошных товаров. Злоумышленники рассылают письма с предложениями купить брендовые часы и сумки по крайне низким ценам, перенаправляя жертв на поддельные сайты, которые выглядят как настоящие магазины. Ключевым элементом мошеннической схемы является использование платежной системы PayPal для придания видимости легитимности операциям.
Описание
В рамках кампании, получившей название luxury_shop_fraud, злоумышленники рассылают электронные письма с заманчивыми заголовками, такими как «0MEGA & R0LEX от 250 долларов - Вечная элегантность», «Откройте для себя роскошные часы по непревзойденным ценам!» и «Эксклюзивные сумки класса люкс всего за 200 долларов!». Адреса отправителей принадлежат доменам, которые либо больше не существуют (NXDOMAIN), либо связаны с вредоносными IP-адресами. Эти IP-адреса размещены во вьетнамских автономных системах (AS 149137, AS 149123, AS 149125), что указывает на географическую привязку инфраструктуры злоумышленников.
Первоначальные ссылки в письмах ведут на сайты, размещенные в доменных зонах .ru и .рф, которые затем перенаправляют пользователей на фиктивные страницы магазинов. Эти сайты используют шаблоны с похожим дизайном, на которых демонстрируются luxury-товары, такие как часы известных марок и дизайнерские сумки, с якобы огромными скидками. При этом сайты не проводят никакой проверки вводимых пользователями данных, включая личную информацию и адреса доставки, что является явным признаком мошенничества.
На этапе подтверждения заказа пользователь перенаправляется на официальную страницу PayPal для оплаты выставленного счета. Однако компания, указанная в счете, каждый раз разная, что позволяет злоумышленникам скрывать свою деятельность и усложнять ее отслеживание. Все фиктивные сайты зарегистрированы через регистратора CNOBIN INFORMATION TECHNOLOGY LIMITED, который имеет крайне негативную репутацию в сфере кибербезопасности. Более 40% доменов, зарегистрированных через эту компанию, связаны с вредоносной активностью.
Инфраструктура мошенников базируется на популярных облачных провайдерах в США, что, вероятно, помогает им обходить некоторые системы защиты и вызывать больше доверия у жертв. Анализ пассивных DNS-данных показал, что пик трафика на эти домены пришелся на 17 июля 2025 года, что свидетельствует об активной фазе кампании в последние три месяца.
Киберпреступники используют несколько методов для ухода от обнаружения: быстро меняющиеся домены, использование надежных хостинг-провайдеров и привлечение легитимных платежных систем. Это подчеркивает важность повышенной бдительности при онлайн-покупках, особенно при наличии подозрительно низких цен на люксовые товары. Специалисты рекомендуют всегда проверять официальность сайтов, обращать внимание на наличие защищенного соединения и избегать перехода по ссылкам из непроверенных электронных писем.
Особую озабоченность вызывает легкость, с которой мошенники обходят стандартные меры безопасности PayPal. Хотя сама система считается безопасной, злоумышленники используют ее в качестве инструмента для придания可信мости своим схемам. Это напоминает о необходимости двусторонней аутентификации и тщательной проверки получателей платежей.
Компания Palo Alto Networks продолжает мониторинг данной кампации и сотрудничает с провайдерами и правоохранительными органами для прекращения ее деятельности. Пользователям советуют быть крайне осторожными с предложениями, которые кажутся слишком хорошими, чтобы быть правдой, и всегда проверять репутацию продавца перед совершением покупки.
Индикаторы компрометации
IPv4
- 103.146.122.54
- 103.149.86.145
- 103.209.34.205
Domains
- hot-lvs.com
- hottest-bags.com
- hottest-rox.com
- hottest-watch.com
- hottest-watches.com
- hottop-watches.com
- hottst-watches.com
- lux-lv.com
- luxlvs.com
- luxroxclub.com
- luxroxs.com
- lux-roxs.com
- lxrox.com
- lzrox.com
- sophialuxbags.com
URLs
- aa.xn----vtbhaakd8a4a6c.xn--p1ai/s45dfg6we5/sd65f49we61bre.html
- bedrf.dsgveeryrt7.ru/dsfkgwetr/fg4hrty.html
- c.xn----7sbbaibjhb9cejra7dq5mvc.xn--p1ai/5b46er48bf/sdf57we65b.html
- dd.xn--80auldd3a.xn--p1ai/jsdyfuibrhjgerfgnqaw/sdf57we65b.html
- fer.ipqgckbgjf.ru/4hg45er/fg5hrty.html
- http://www.luxroxs.com/
- https://mm.wwwtabumaks999.ru/pl%20mkjsd%20jdu7w%2029fj%20ciwol/連絡先、夕食会、華中師範大学%20cjkwq.html
- i.r0dxjuw.ru/fdghkiret/23.html
