Раскрыта масштабная киберпреступная сеть: браузер для онлайн-казино стал инструментом шпионажа и мошенничества

Расследование началось с кластера сайтов нелегального онлайн-гемблинга в Камбодже, которые, как известно правоохранительным органам, связаны с мошенничеством, отмыванием денег и торговлей людьми. Анализ DNS-записей показал, что все эти сайты перенаправляют трафик на одного поставщика софта для азартных игр - компанию BBIN. Помимо предоставления типовых решений для онлайн-казино, этот провайдер активно продвигает среди пользователей собственный браузер Universe Browser, который вызывает серьезные опасения с точки зрения безопасности.

Universe Browser рекламируется как «дружественный к конфиденциальности» инструмент, позволяющий обходить блокировки в странах, где онлайн-гемблинг запрещен. Однако технический анализ, проведенный Infoblox, показал, что приложение обладает функциями, характерными для классического вредоносного ПО. После установки браузер в фоновом режиме развертывает несколько скрытых программ, проверяет, не запущен ли он в виртуальной машине, и устанавливает постоянное соединение с управляющими серверами в Китае, Гонконге и Тайване. Маршрутизация всего трафика пользователя через контролируемую Vault Viper инфраструктуру создает высокий риск перехвата учетных данных и хищения данных.

Среди скрытых функций браузера - модификация сетевых настроек устройства, ведение кейлоггинга (фиксации нажатий клавиш) и установка скрытых расширений, не представленных в официальном магазине Chrome. Одно из них, «lineSelector», способно определять, когда пользователь заходит на сайты, работающие на инфраструктуре BBIN, и перенаправлять соединение через предпочтительные прокси-серверы. Другое расширение, «Screenshot», загружает снимки экрана на контролируемые злоумышленниками домены.

Анализ основного сервисного бинарного файла UBService выявил сложную систему управления соединениями с использованием зашифрованных DNS-записей и SOCKS5-прокси. Программа применяет различные методы против отладки, обфусцирует свой код и критически важные данные, что нехарактерно для легиматного программного обеспечения. По оценкам исследователей, база установки Universe Browser исчисляется миллионами пользователей, преимущественно в Юго-Восточной Азии.

Группа Vault Viper не ограничивается браузером. Ее инфраструктура включает десятки тысяч доменов, размещенных на собственном автономной системе (ASN) WOODSNET-PH на Филиппинах, а также на платформах Amazon Web Services и Alibaba. Исторический анализ показал, что ключевой домен управления и контроля (C2) ac101[.]net активен с 2006 года и ранее использовался для распространения различных вредоносных нагрузок.

Расследование также установило глубокие связи Baoying Group с транснациональной организованной преступностью. Корпоративный анализ выявил переплетенную сеть компаний в офшорных юрисдикциях, включая Белиз и Британские Виргинские острова.

Платформа BBIN также демонстрирует связи с ранее раскрытой Infoblox группировкой Vigorish Viper, которая связана с китайской преступной группой Yabo и замешана в схемах отмывания денег и торговли людьми. Обе операции подчеркивают, как индустрия нелегального онлайн-гемблинга стала краеугольным камнем для современных киберпреступных экосистем в Азии.

Эксперты по безопасности заключают, что Universe Browser представляет собой не просто инструмент для обхода блокировок, а многоцелевую платформу для эксплуатации, разработанную для слежки, кражи данных и получения криминального дохода. Риск для пользователей усугубляется тем, что их участие в нелегальной деятельности лишает их возможности обратиться за правовой защитой. Это дело знаменует собой новую фазу эволюции азиатских преступных синдикатов, которые превращаются из организаторов азартных игр в полноценных и высокотехнологичных киберугрозовых акторов.

IPv4

• 120.79.173.34
• 120.79.197.209
• 146.88.164.244
• 146.88.165.78
• 47.106.118.53
• 47.107.42.176
• 47.243.172.76
• 47.243.69.88

URLs

• h9pvs-2eanqhz.csqq2g-fzc5i5.com/mysteries-pages/418.html
• zc9-32a4-hsa34.fd7wt9-3f-7nin.com/mysteries-page/418.html

Domains

• 650llq.cm
• ac101.net
• ag04vip.com
• b9gw-g5p-9x7mq.com
• boss04vip.com
• c2a-ut9fj-2v7m.com
• cdn.mr3yh8er.com
• cdn.n4dhx7bt.com
• chu-shi-biao.s3-website.ap-northeast-2.amazonaws.com
• d1ko2n56twscbk.cloudfront.net
• d38z5zttlbg669.cloudfront.net
• eamix.cn
• ex5n-pt6g-b6g7.iy7mljjr68h.com
• fvwy-i65-82meq.com
• g1uvvowzz2.bzta2gq4.com
• hmbmmmuztj.wajn69nk.com
• huanyuliulanqi.com
• mzim-e83ja-5wm.com
• phone589.com
• qzvj52cv-typf.com
• ub.zhanglijuanlawyer.com
• ub66.com
• ub66.io
• ub66.me
• ub66.net
• xn--29s7i934gspn.ub66.com
• xn--29s7inly9ib.ub66.com
• xn--29s7ix44lsga.ub66.com
• yts79y3-zew6s.p0bgceeug-l.com
• ywguo31mtu.z3wr37yr.com
• zw6q9v-k6vczr.com

SHA256

• 0592aad472bbadeb6edc55573d7bcd2cff560504de5c94d8e1600188f143e523