Индустрия кибермошенничества постоянно эволюционирует, и сегодня наиболее опасными становятся не откровенно подозрительные рассылки, а кампании, которые мастерски балансируют на грани легальности. Они используют психологические уловки, профессиональный дизайн и легитимные облачные сервисы, чтобы выманивать у жертв критически важные данные. Именно такая схема была недавно разоблачена исследователями из компании Malwarebytes, чей продукт Scam Guard помог выявить изощрённую операцию под видом сервиса проверки кредитоспособности.
Описание
Инцидент начался с анонимного отчёта от пользователя, чьё внимание привлекло электронное письмо, помеченное системой как высокорисковое. Письмо, отправленное с адреса anna@cosmosshift[.]org, предлагало услугу под названием Credit Resources Vault и побуждало получателя нажать на кнопку "Проверить право на получение сейчас". Уже на этом этапе были заметны классические признаки социальной инженерии: домен отправителя не имел никакого отношения к финансовым услугам, а в тексте создавалось искусственное ощущение срочности, связанное с одобрением кредита. При этом сообщение содержало физический адрес и ссылку для отписки - техника, известная как "отмывание легитимности", которая призвана усыпить бдительность жертвы.
Особенностью данной атаки стала персонализация. В отличие от массового фишинга, письмо содержало приветствие с использованием email-адреса получателя. Поскольку получатель утверждал, что никогда не взаимодействовал с отправителем, это указывает на то, что контактные данные, вероятно, были получены из утечек или приобретены у брокеров данных. Таким образом, атака была нацеленной, а не случайной. Переход по ссылке в письме приводил на внешне респектабельный сайт yourcreditvault.com, предлагавший услуги в сфере кредитования. Однако технический анализ ресурса выявил ряд тревожных несоответствий.
Сайт был собран на современном JavaScript-фреймворке Vite/React, который чаще ассоциируется со стартап-проектами, а не с регулируемыми финансовыми институтами. В коде присутствовали отсылки к инструментам искусственного интеллекта для генерации, а ключевой JavaScript-файл, отвечающий за обработку данных формы, был сильно обфусцирован - стандартный приём злоумышленников для сокрытия логики работы. Брендинг выглядел непрофессионально, а в исходном коде не было никаких признаков инфраструктуры шифрования, характерной для банковского сектора. Всё это указывало на то, что сайт был быстро собран с единственной целью - сбор информации, а не предоставление реальной услуги.
Основную угрозу представляла собой форма заявки, которая запрашивала непропорционально большой объём конфиденциальных данных для простой "проверки права". Помимо стандартных имени, фамилии, email и телефона, она требовала полный домашний адрес и, что критически важно, детальные банковские реквизиты: название банка, номер учреждения, транзитный номер и номер счёта. Эксперты Malwarebytes в своём отчёте детально описали, как с помощью анализа сетевого трафика им удалось выявить полный список передаваемых полей. Собранной информации было более чем достаточно для организации мошеннических операций. Но главной находкой стало то, как эта информация использовалась.
В форме, рядом с малозаметным текстом мелким шрифтом, располагался чекбокс, установка которого автоматически означала согласие жертвы на еженедельное списание 20 долларов по схеме Pre-Authorized Debit (PAD) - легальному механизму прямого дебетования средств, часто используемому для оплаты регулярных счетов. Таким образом, мошенники не просто похищали банковские данные, но и сразу получали инструмент для их монетизации, прикрываясь формальным "согласием" пользователя. Для людей, испытывающих финансовые трудности и отчаянно нуждающихся в кредите, такое предложение "одобрения вопреки всему" могло показаться спасительным, что делало их идеальными мишенями. Годовой объём несанкционированных списаний в таком случае мог превышать тысячу долларов, усугубляя финансовое положение жертвы из-за комиссий за овердрафт.
Анализ бэкенда показал высокий уровень организации схемы. Данные жертв отправлялись через POST-запрос на проект в Supabase - легитимной и уважаемой облачной платформе баз данных. Затем, через функцию Supabase, контакты автоматически добавлялись в сервис массовых рассылок Brevo (бывший Sendinblue), что позволяло злоумышленникам бесконечно вовлекать жертв в новые фишинговые или рекламные кампании. Кроме того, нарисованная на экране подпись пользователя загружалась на Google Drive, а все записи о заявках синхронизировались в реальном времени с Google Таблицей, создавая для операторов удобный дашборд (панель управления) для мониторинга. Каждый из этих сервисов в отдельности абсолютно легален, но вместе они были скомбинированы в эффективную систему для сбора, хранения и эксплуатации чувствительной информации.
Этот случай наглядно демонстрирует тренд на профессионализацию кибермошенничества. Злоумышленники больше не полагаются на грубые подделки официальных сайтов банков. Вместо этого они создают правдоподобные, технически грамотные проекты, которые эксплуатируют доверие к известным облачным платформам и нацеливаются на наиболее уязвимые группы. Защита от таких угроз требует от пользователей повышенной скептичности в отношении любых неожиданных предложений, особенно связанных с финансами, и тщательной проверки доменов и репутации отправителей. Для компаний же это сигнал о необходимости развития более продвинутых систем обнаружения угроз, способных анализировать не только явно вредоносный код, но и комплекс поведенческих и контекстуальных аномалий, которые выдают мошенническую схему, прикрывающуюся видимостью законного бизнеса.
Индикаторы компрометации
Domains
- cosmosshift.org
- creditresources.ca
- debtlesscredit.com
- yourcreditvault.com
- yourscore.ca
