В сфере киберпреступности продолжается эволюция инструментария: на смену кустарным подделкам приходят сложные, автоматизированные комплексы, создаваемые с помощью искусственного интеллекта. Недавно обнаруженный фишинговый набор, условно названный "Montana Empire", демонстрирует опасный тренд, когда злоумышленники используют ИИ-агентов для программирования, что значительно повышает скорость разработки и функциональность их вредоносных продуктов. Этот набор целенаправленно имитирует платформы электронной коммерции, в частности, сервисы национальной почтовой службы, представляя серьёзную угрозу для покупателей.
Описание
Основной целью набора является создание точных копий (клонов) реальных интернет-магазинов. В данном случае злоумышленники сфокусировались на платформе PTT AVM, создав четыре поддельных магазина: Unifone, Masterfone, Newphone и Dogabilisim. Однако особенность "Montana Empire" заключается не только в качественном визуальном подражании. Его архитектура включает в себя систему реального времени для скрапинга (сбора данных), которая автоматически обновляет контент на фишинговой странице, загружая актуальные товары, описания и даже отзывы с оригинала. Это делает подделку крайне убедительной и сложной для оперативного обнаружения, поскольку страница не статична, а динамически отражает изменения на легитимном сайте.
Сердцем атаки является механизм сбора конфиденциальных данных, реализующий два канала мошенничества. Если жертва выбирает оплату картой, скрипт захватывает её данные поле за полем в момент ввода, отправляя информацию злоумышленнику даже в том случае, если пользователь не завершил оплату и покинул страницу. Альтернативный вариант - банковский перевод на указанный IBAN. Здесь используется коварный приём: номер счёта может быть подменён в реальном времени без перезагрузки страницы, что позволяет атакующему оперативно менять счета-пустышки (дроп-счета). После перевода жертве предлагается загрузить квитанцию, которая вместе с адресом доставки и номером удостоверения личности незамедлительно отправляется в Telegram-бот злоумышленника.
Именно Telegram выступает в роли центра управления и контроля для всей операции. Интеграция с мессенджером выведена на высокий уровень. Атакующий получает в боте детализированное уведомление о каждой жертве с кнопками действий: "Подтвердить" (показать жертве сообщение об успешной оплате), "Отклонить", "Отправить OTP" (для обхода двухфакторной аутентификации путем перехвата и подмены одноразового кода), "Перенаправить на перевод" или "Начать чат". Последняя опция позволяет мошеннику в реальном времени impersonate (выдавать себя за) службу поддержки площадки, чтобы развеять сомнения жертвы и довести мошенничество до конца. Важной деталью является операционная безопасность (OpSec): данные для доступа к боту хранятся не в коде, а в базе данных SQLite, что усложняет их компрометацию при утечке файлов набора.
Наиболее примечательным аспектом "Montana Empire" являются явные следы разработки с помощью ИИ-агента для написания кода. В архиве с набором исследователи обнаружили служебную директорию такого агента, содержащую журнал сессии с разрешениями для инструментов и конфигурационный файл локального PHP-сервера. Лог подтверждает, что атакующий использовал ИИ для выполнения ключевых задач: скрапинга страниц оригинального сайта, парсинга CSS, разработки PHP-бэкенда, работы со схемой базы данных SQLite, визуальной проверки клонированного магазина и даже выполнения веб-поисков. Косвенными признаками также служат единообразное использование эмодзи в интерфейсе бота, идентичные блоки комментариев PHPDoc на турецком языке во всех PHP-файлах, а также наличие временных и резервных файлов, характерных для итеративного процесса доработки кода с помощью ИИ.
Наличие предзаполненной базы данных SQLite с конфигурацией, данными о товарах и учётными данными для пяти различных магазинов указывает на то, что "Montana Empire" задуман как многократно используемая платформа. Злоумышленники могут быстро разворачивать новые фишинговые сайты под разные бренды, минимально адаптируя базовый код. Об этом же свидетельствует второй фишинговый набор (letgovip.zip), найденный на том же временно открытом сервере, который, вероятно, имитирует площадку по продаже б/у товаров.
Появление таких инструментов сигнализирует о новой фазе в арсенале киберпреступников. Использование ИИ снижает порог входа для создания сложного вредоносного ПО, автоматизирует рутинные задачи разработки и позволяет создавать более изощрённые и адаптивные схемы обмана. Для пользователей это означает, что даже свежий, актуально выглядящий сайт известного сервиса может оказаться ловушкой. Для специалистов по безопасности инцидент подчёркивает важность мониторинга не только фишинговых доменов, но и анализа поведенческих паттернов на сайте, таких как странные запросы к сторонним API или нехарактерная механика взаимодействия с элементами форм. Борьба с мошенничеством теперь требует понимания не только тактик, но и инструментов разработки, которые попадают в руки злоумышленников.
Индикаторы компрометации
Domains
- magaza-tamamla.com
- pttavm.magaza-tamamla.com
- pttvm.com
URLs
- http://pttvm.com/letgovip.zip
- http://pttvm.com/mentalite.php
- http://pttvm.com/PTTAVM.zip
- https://pttvm.com/magaza/dogabilisim
- https://pttvm.com/magaza/masterfone
- https://pttvm.com/magaza/newphone
- https://pttvm.com/magaza/unifone
SHA256
- eb07edaa2786cfddfa4c15526168f2200d85300aee0a8f253b32d2462a7b0bcd
