Новое исследование Infoblox Threat Intel проливает свет на многолетнюю преступную деятельность кибергруппировки VexTrio, чьи спам-кампании и мошеннические схемы охватывают миллионы пользователей по всему миру. Данные, собранные за год наблюдений, демонстрируют сложную экосистему, где фишинговые сайты, вредоносные приложения и спам-рассылки создают замкнутый цикл обмана.
Описание
Ядро преступной модели
VexTrio функционирует как гибридная структура, сочетающая трафик-дистрибуцию (TDS) с собственными мошенническими вертикалями. Вопреки распространённому мнению, группа не просто перенаправляет жертв к сторонним мошенникам - в 80% случаев она сама создаёт финальные страницы обмана. Используя технологию "умных ссылок" (smartlinks), VexTrio внедряет их в скомпрометированные сайты, сообщения Instagram и даже инструменты безопасности электронной почты. Ключевые направления включают:
- Финансовые аферы (криптовалютные "инвестиции" с гарантированной доходностью)
- Фейковые сайты знакомств с подписками и ботами
- Ложные антивирусы и "призовые" розыгрыши
Мобильное мошенничество
В Google Play и App Store обнаружено более 20 приложений, связанных с VexTrio через компании-оболочки HolaCode, LocoMind и AlphaScale Media. Суммарное количество загрузок превысило 1 млн. Приложения маскируются под VPN (Fast VPN), блокировщики спама (Spam Shield) и сервисы знакомств (Hugmi, Cheri). Их объединяет:
- Агрессивная реклама с невозможностью отключения
- Скрытые подписки (до $6.99/месяц)
- Сбор конфиденциальных данных пользователей
Анализ кода выявил поразительное сходство между приложениями VexTrio и продуктами пражских компаний Techintrade и Oilimpex. Например, Spam Shield (VexTrio) и Spam Lock (Techintrade) используют идентичные интерфейсы и условия обслуживания. Расследование установило, что основатель Techintrade Катарина Торапава одновременно занимала пост директора в AdsPro Group - рекламном подразделении VexTrio. Общие IP-адреса (185.155.186.134) и доменные структуры подтверждают глубину связей.
Спам-инфраструктура
Группа использует домены-имитаторы известных сервисов рассылок: sendgrid[.]rest и mailgun[.]fun. Их серверы (78.47.103.187) рассылают до 5 млн писем ежемесячно через платформу Fidelity Mail, обещающую доступ к "220 млн верифицированных адресов". Источником баз становятся сами жертвы: ввод email требуется для "получения приза" или "доступа к чату".
Особое внимание привлек домен datingcell[.]com. Анализ писем показал персонализированные темы ("Диана из Кингстона просматривает ваш профиль"), где кнопки вели через трекер YNOT Mail на фейковый сайт знакомств BIGO LOVE. После сбора данных пользователь перенаправлялся на платный контент, приносящий VexTrio партнёрские отчисления. Исторически этот домен использовался для фишинга Dropbox и Google ещё в 2017 году.
Корпоративная сеть
За пределами киберпреступлений ключевые фигуры VexTrio вовлечены в десятки компаний. Наиболее неожиданная - Profine Energy Bulgaria, заявившая о проекте солнечной электростанции стоимостью €1 млрд. Примечательно, что соучредителем стал Краум Василев, ранее связанный с "взрослым" контентом через AdsPro. Регистрационные документы показывают уставный капитал всего €6,000, что ставит под сомнение масштаб инвестиций.
Безнаказанность и выводы
Несмотря на 15-летнюю историю мошенничества (первые операции датированы 2004 годом), группа избегает юридической ответственности. Эксперты связывают это с:
- Распределённой инфраструктурой (Швейцария, Чехия, Кипр)
- Регулярной сменой доменов и брендов
- "Серой зоной" в регулировании adtech-индустрии
Как отмечают исследователи, "скрывать мошенничество - само по себе мошенничество" (Fraus est celare fraudem). Временные блокировки доменов не останавливают VexTrio: через неделю операции возобновляются с новых адресов. Для реального противодействия требуется координированная работа регуляторов, хостинг-провайдеров и магазинов приложений. Третий отчёт проекта раскроет технические детали инфраструктуры группировки.
Индикаторы компрометации
IPv4
149.248.3.79
- 5.101.47.158
- 5.188.178.158
- 5.188.51.87
- 5.45.71.227
- 5.8.47.3
- 5.8.47.52
- 91.243.58.17
Domains
URLs
- https://base-fastbitco.top/threads/transfers?u=d4w264
- https://bit-wagifouzolu.top/transfers/
- https://cryptoprofit.life/?u=fmkpte4&o=m45kwzr&t=html
- https://defendyourpc.com/shield/norton_global_2_new/?lpkey=17de31083311094c36
- https://fastminingpro.com/payouts/
- https://multipleprofit-now.life/?u=30wweky&o=pvkptz3&t=CryptoSingnetSG
- https://place-more-prizes.life/?u=m5uwwwl&o=frcpbz7&t={affiliate_id}&cid={transaction_id}
- https://www.pattern-trader.net/lp?k=acf93&i=25e7&utm=941d7b3f-1ca7-470b-8ccd-641a056c15d4
- https://tinyurl.com/2ykfey8v
- https://tinyurl.com/288tobvb
- https://is.gd/l3S7qf
