Validin представил открытый Python SDK для анализа угроз: инструмент помог отследить масштабную смишинг-кампанию

information security

Компания Validin, специализирующаяся на анализе доменных данных, выпустила бета-версию Python SDK (комплекта для разработки на языке Python). Этот инструмент позволяет автоматизировать процессы обогащения индикаторов и мониторинга угроз через API (программный интерфейс) Validin. Решение уже пригодилось самой команде для расследования фишинговой атаки через SMS, известной как смишинг. Аналитики смогли выявить десятки вредоносных доменов, нацеленных на клиентов крупных операторов связи.

Описание

Новый SDK доступен в открытом репозитории на GitHub и может быть установлен из PyPI простой командой в терминале. Разработчики ориентировали его на задачи массового обогащения данных, поиска похожих доменов (Lookalike search) и отслеживания кампаний в реальном времени. Внутри компании SDK уже встроили в регулярные фоновые задания для непрерывного наблюдения за подозрительной активностью.

Поводом для разработки скрипта стала реальная угроза. В январе 2026 года один из сотрудников Validin получил SMS-сообщение с адреса icloud[.]com. В тексте утверждалось, что бонусные баллы T-Mobile скоро сгорят, и содержалась ссылка на поддельный сайт для "продления". Переход по ссылке вёл на страницу, имитирующую портал программы лояльности оператора, где требовалось ввести данные банковской карты. Это классическая фишинговая атака, использующая подмену бренда.

Изучив историю сервера домена t-mobile[.]vgyva[.]icu, эксперты Validin заметили, что конфигурация хоста менялась несколько раз в течение нескольких часов после появления в открытом интернете. Анализ хэша последнего баннера (отпечатка сервера) позволил найти группу доменов со схожей структурой. Все они следовали шаблону: имя оператора, случайный пяти- или шестибуквенный фрагмент, зона .icu или .cc. Такое поведение напоминает работу DGA (алгоритма генерации доменных имён), который автоматически создаёт новые адреса для обхода блокировок.

В своём блоге представители Validin рассказали, что первоначальный набор из семи доменов оказался лишь вершиной айсберга. Сотрудник продолжал получать новые фишинговые SMS с разных адресов, и ни один из новых доменов не совпадал с уже найденными. Метод поиска по хэшу баннера давал только мелкие кластеры и не позволял охватить всю кампанию целиком. Тогда аналитики применили регулярное выражение для поиска похожих доменов через Lookalike search. Они задали маску: в начале одно из трёх названий операторов (t-mobile, att, verizon), затем точка, пять или шесть букв, точка и зона icu либо cc. Запрос охватил все домены, зарегистрированные за последние 180 дней.

Результат поиска оказался внушительным. Проверив несколько случайных адресов на наличие страницы /pay, эксперты подтвердили, что они работают по той же схеме. Дополнительный анализ показал, что большинство вредоносных доменов зарегистрированы через одного провайдера - Gname.com Pte. Ltd. Эта закономерность стала ключевой для создания автоматического мониторинга.

С помощью Python SDK аналитики написали скрипт, который ежедневно выполняет несколько действий. Сначала он запускает Lookalike search по тому же регулярному выражению, но с глубиной в один день, чтобы ловить только свежие домены. Затем для каждого найденного адреса через API запрашивается история регистрации. После этого скрипт отфильтровывает те домены, у которых регистратор совпадает с Gname. Оставшиеся кандидаты сохраняются в проекте Validin или локальном кэше. Такой подход позволяет оперативно пополнять список индикаторов компрометации и отслеживать эволюцию кампании без ручного труда.

Разработчики подчёркивают, что SDK поддерживает многоэтапное обогащение данных. Аналитики могут выполнять вторичные и третичные проверки, прежде чем принимать решение о включении домена в чёрный список. Это особенно важно для борьбы с фишингом, где злоумышленники постоянно меняют инфраструктуру.

Сам код скрипта и полный список выявленных индикаторов компания выложила в открытый доступ. Таким образом, любой специалист по информационной безопасности может адаптировать решение под свои задачи. Validin приглашает сообщество к тестированию и обратной связи - SDK пока находится в статусе бета-версии, и его функциональность будет дорабатываться с учётом пожеланий пользователей.

Новый инструмент особенно полезен для команд SOC (центров мониторинга и реагирования), которые вынуждены обрабатывать сотни тысяч событий в день. Автоматизация сбора данных о доменах, их проверка на связь с известными угрозами и фильтрация по косвенным признакам - вот что даёт Python SDK от Validin. Пример со смишинг-кампанией наглядно демонстрирует, как несколько строчек кода могут заменить часы ручного анализа.

Для российских компаний, сталкивающихся с фишингом под брендами МТС, Билайн или Мегафон, методология поиска по регулярным выражениям и регистраторам тоже применима. Главное - правильно адаптировать шаблоны и источники данных. SDK может стать частью стандартного инструментария аналитика, работающего с внешними угрозами.

Индикаторы компрометации

Domains

  • att.yguaf.icu
  • t-mobile.cfdkuy.icu
  • t-mobile.cfdlrw.icu
  • t-mobile.fxcmsx.icu
  • t-mobile.vgyva.icu
  • verizon.celiq.icu
  • verizon.cfgqv.icu

Комментарии: 0