Zurück zu den Nachrichten

ScamIntelLogs: Untersuchung + Veröffentlichung des Tools

Keitaro TDS: 1.500 Panels offengelegt und keine legitimen Verwendungszwecke gefunden

Die Tarn-Engine hinter jedem Betrugsversuch, den Sie noch nie gesehen haben. PhishDestroy hat über 50.000 Websites gescannt, 1.565 Keitaro-TDS-Admin-Panels entdeckt und dabei keinen einzigen legitimen Einsatz gefunden. Jedes einzelne Panel stand in Verbindung mit Krypto-Betrug, Phishing, der Verbreitung von Malware oder Schlimmerem. Zu den Kunden zählen EvilCorp, die Ransomware LockBit und VexTrio. Ein Open-Source-Toolkit zur Erkennung, eine 7-Punkte-Methodik und eine vollständige CSV-Datei mit allen Panels wurden nun veröffentlicht.

1.565 Panels gefunden100 % Schadsoftware-Anteil7 Nachweismethoden4 Tools veröffentlicht
Keitaro TDS entlarvt
0
Gefundene Admin-Panels
50,000+
Überprüfte Websites
0%
Zulässige Verwendungszwecke
7
Nachweismethoden

Was ist Keitaro TDS?

Keitaro TDS ist ein kommerzielles Verkehrsverteilungssystem, das von Apliteni OU, ein Unternehmen mit Sitz in Estland. Auf den ersten Blick präsentiert es sich als Tool zur Traffic-Verwaltung für Affiliate-Vermarkter. In der Praxis handelt es sich jedoch um die am weitesten verbreitete Cloaking-Engine im globalen Betrugsökosystem.

Cloaking ist die Kunst, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Wenn ein Sicherheitsforscher, ein Anzeigenprüfer oder ein Strafverfolgungsbeamter eine URL aufruft, erkennt Keitaro diese Personen und zeigt ihnen eine saubere, harmlose Seite an. Wenn ein echtes Opfer dieselbe URL aufruft, wird es zu Krypto-Betrugsseiten, Phishing-Seiten, Malware-Downloads oder betrügerischen E-Commerce-Seiten weitergeleitet. Das Opfer sieht niemals die harmlose Version. Der Analyst sieht niemals den Betrug.

Die Preise bei Keitaro reichen von 40 bis 400 Euro pro Monat, wodurch es sich als Betrugsbekämpfungsinfrastruktur der Enterprise-Klasse positioniert. Es speichert Besucherdaten für bis zu 9,75 Jahre, wodurch die Betreiber über einen riesigen Datensatz mit Fingerabdrücken der Opfer, geografischen Daten und Verhaltensprofilen verfügen. All diese Daten werden gespeichert auf AWS-Infrastruktur, was bedeutet, dass Amazon unwissentlich das Backend für Tausende von Betrugsoperationen bereitstellt.

Mantelgesellschaft

Apliteni OU Das Unternehmen hat seinen Sitz in Estland und nutzt dort das E-Residency-Programm sowie die günstigen Datenschutzgesetze für Unternehmen. Das Unternehmen wahrt durch professionelles Marketing, Dokumentation und Kundensupport den Anschein von Legitimität – während jeder nachweisbare Einsatz seines Produkts mit kriminellen Aktivitäten in Verbindung steht. Es verlangt 40–400 € pro Monat für eine Plattform, die im Grunde genommen ein „Scam-as-a-Service“-Angebot darstellt und Daten fast ein Jahrzehnt lang speichert.

Die Zahlen: 1.565 Panels, null legitime

Die Untersuchung von PhishDestroy ging von einer einfachen Hypothese aus: Wenn Keitaro TDS legitime Anwendungsfälle hat, sollten wir diese in großem Umfang finden. Wir haben gescannt Über 50.000 Standorte Dabei setzten wir eine Kombination aus automatisierten Tools und manueller Überprüfung ein und suchten gezielt nach Keitaro-TDS-Fingerabdrücken. Was wir fanden, war eindeutig.

1.565 aktive Keitaro-Admin-Panels wurden entdeckt. Wir haben jeden einzelnen davon analysiert. Das Ergebnis: keine legitimen Bereitstellungen. Kein einziges Panel wurde für rechtmäßiges Affiliate-Marketing, A/B-Tests oder andere harmlose Zwecke genutzt. Jedes einzelne Panel – zu 100 % – stand in Verbindung mit kriminellen Aktivitäten.

1,565
Aktive Felder
100%
Anteil bösartiger Dateien
50.000+
Überprüfte Websites
9,75 Jahre
Maximale Aufbewahrungsfrist für Daten

Aufschlüsselung nach Missbrauchskategorien

Die 1.565 Panels verteilten sich auf sechs Hauptkategorien von Missbrauch. Viele Panels dienten gleichzeitig mehreren Kategorien, wobei Keitaros Traffic-Routing genutzt wurde, um Opfer je nach geografischem Standort, Gerät oder Tageszeit auf verschiedene Betrugsarten weiterzuleiten.

Kategorie „Missbrauch“Beschreibung
Krypto-Betrug Gefälschte Investitionsplattformen, Wallet-Leerer, betrügerische Landingpages
Phishing Das Ausspähen von Zugangsdaten bei Banken, E-Mail-Anbietern und sozialen Medien
Verbreitung von MalwareLieferung von Loadern, Vorbereitung von Ransomware, Drive-by-Downloads
Betrug im E-CommerceScheinläden, gefälschte Waren, Skimming von Zahlungskarten
Dating-BetrugLiebesbetrug, Landingpages für Sextortion, gefälschte Profile
Glücksspielbetrug Nicht lizenzierte Casinos, manipulierte Wettplattformen, Diebstahl von Einzahlungen

Anmerkung zur Methodik

Jedes Panel wurde vor der Klassifizierung anhand von mindestens zwei unabhängigen Erkennungsmethoden überprüft. Falschpositive Ergebnisse wurden manuell überprüft und ausgeschlossen. Die Zahl von 1.565 bezieht sich ausschließlich auf bestätigte, aktive Keitaro-Installationen – die tatsächliche Anzahl der Bereitstellungen, einschließlich derjenigen hinter zusätzlichen Schutzebenen, ist sicherlich höher.

Namentliche Aufruf der Mandanten in Strafsachen

Keitaro TDS wird nicht nur von Kleinkriminellen genutzt. Es ist die bevorzugte Verschleierungsinfrastruktur einiger der gefährlichsten Cyberkriminellen-Organisationen der Welt. Hier sind die dokumentierten Kunden:

EvilCorp

Das mit Sanktionen belegte russische Cyberkriminalitätssyndikat nutzt Keitaro, um internationale Sanktionen zu umgehen. Indem EvilCorp seine Aktivitäten hinter Keitaros Datenverkehrverteilung verbirgt, umgeht das Unternehmen genau jene Sicherheitskontrollen, die darauf ausgelegt sind, es außer Gefecht zu setzen. Jeder Klick, der über Keitaro geleitet wird, stellt einen Verstoß gegen die Sanktionen dar, der durch die Software von Apliteni OU ermöglicht wird.

LockBit-Ransomware

Die Ransomware-Gruppe „LockBit“ nutzte Keitaro zur Verbreitung von Malware und setzte dessen Verschleierungsfunktionen ein, um sicherzustellen, dass nur die eigentlichen Ziele die Ransomware-Payloads erhielten, während Sicherheits-Sandboxes und Forscher harmlose Inhalte zu sehen bekamen. Keitaro wirkte als Kraftverstärker für eine der zerstörerischsten Ransomware-Aktionen der Geschichte.

VexTrio

Der größte bekannte Keitaro-Kunde. VexTrio arbeitet mit Über 60 Partner und Bedienelemente 86.832+ Domains, die alle den Datenverkehr über Keitaros Verteilungs-Engine leiten. Dieser einzelne Vorgang macht einen enormen Anteil des bösartigen Werbedatenverkehrs im Internet aus, und Keitaro ist das Rückgrat, das dafür sorgt, dass dieser unsichtbar bleibt.

ClearFake

ClearFake fügt gefälschte Aufforderungen zu Browser-Updates in kompromittierte Websites ein und verbreitet Malware, sobald die Opfer auf „Aktualisieren“ klicken. Keitaros Cloaking-Funktion sorgt dafür, dass nur echte Besucher das bösartige Overlay sehen – Sicherheitsscanner erkennen hingegen die ursprüngliche, saubere Website. Das Ergebnis: Malware-Verbreitung mit einer Erkennungsrate von nahezu null.

FakeBat

FakeBat ist ein Malware-Loader, der über bösartige Werbekampagnen verbreitet wird. Keitaro leitet den Werbetraffic über eine Entscheidungs-Engine weiter: Sicherheitsprogramme werden auf legitime Software-Downloadseiten umgeleitet, während echten Nutzern mit Trojanern infizierte Installationsprogramme angezeigt werden. Keitaro sorgt dafür, dass die Malvertising-Kampagnen von FakeBat für die Sicherheitsteams der Werbeplattformen praktisch unsichtbar bleiben.

Doppelgänger

Eine mit dem russischen Staat verknüpfte Desinformationskampagne, die Keitaro nutzt, um Propaganda in westlichen sozialen Medien zu verbreiten. Durch Keitaros geografisches und gerätebasiertes Fingerprinting wird sichergestellt, dass Inhaltsmoderatoren und Faktenprüfer andere Inhalte sehen als die Zielgruppen. Informationskrieg, unterstützt durch kommerzielle estnische Software.

„Wir haben bei jeder größeren Cyberkriminalitätsaktion, die wir in den letzten 18 Monaten untersucht haben, Spuren von Keitaro gefunden. Das ist kein Zufall – es ist der Industriestandard für Kriminelle.“

— PhishDestroy-Forschungsteam

7-Punkte-Erkennungsmethode

Im Rahmen dieser Untersuchung entwickelte PhishDestroy sieben unabhängige Methoden zur Identifizierung von Keitaro-TDS-Installationen. Jede Methode zielt auf einen anderen Fingerabdruck ab, den Keitaro hinterlässt, und zusammen bilden sie ein umfassendes Erkennungsframework, das nun als Open-Source-Tool zur Verfügung steht.

1. /click_api/v3 Endpunkt

Keitaros zentraler API-Endpunkt zur Verarbeitung von Klickereignissen. Dieser Pfad ist fest in der Software programmiert und bei jeder Installation vorhanden. Die Überprüfung dieses Endpunkts ist die schnellste Methode, um eine Keitaro-Bereitstellung zu bestätigen. Eine 200- oder 302-Antwort unter diesem Pfad gilt als nahezu sichere Bestätigung.

2. _lp / _token / _subid URL-Parameter

Keitaro fügt URLs während Weiterleitungsketten spezifische Tracking-Parameter hinzu. Die _lp Der Parameter identifiziert die Zielseite, _token unterstützt die Sitzungsauthentifizierung und _subid erfasst die Quellen von Unterpartnern. Diese Parameter kommen ausschließlich bei Keitaro vor und tauchen in seriösen Traffic-Management-Systemen nur selten auf.

3. Keitaro-spezifische Cookies

Keitaro setzt spezielle Cookies ein, um Besuchersitzungen zu verfolgen und den Cloaking-Status aufrechtzuerhalten. Diese Cookies folgen anderen Namenskonventionen als herkömmliche Analyseplattformen, wodurch sie durch eine Browser-Überprüfung oder eine automatisierte Cookie-Analyse identifiziert werden können.

4. Muster für Antwort-Header

Die Serverantworten von Keitaro weisen charakteristische HTTP-Header-Muster auf, darunter bestimmte Cache-Control-Anweisungen, benutzerdefinierte Header und Zeichenfolgen zur Serveridentifikation, die sich von denen herkömmlicher Webserver unterscheiden. Diese Header bleiben auch dann bestehen, wenn Betreiber versuchen, ihre Installationen anzupassen.

5. JavaScript-Weiterleitungsketten

Keitaro nutzt mehrstufige JavaScript-Weiterleitungen, um die Fingerabdrücke der Besucher auszuwerten, bevor entschieden wird, ob die Betrugsseite oder die harmlose Seite angezeigt wird. Diese Weiterleitungsketten folgen vorhersehbaren Mustern – bestimmte Variablennamen, zeitliche Abläufe und Auswertungslogik –, die durch statische und dynamische JavaScript-Analysen erkannt werden können.

Weltweite Heatmap: Weltweit wurden 1.565 Keitaro-TDS-Panels entdeckt, 0 legitime Verwendungszwecke gefunden
Weltweite Heatmap: Weltweit wurden 1.565 Keitaro-TDS-Panels entdeckt, 0 legitime Verwendungszwecke gefunden
6. Analyse von Domänenmustern

Keitaro-Betreiber registrieren Domains in der Regel nach vorhersehbaren Namenskonventionen und Registrierungsmustern. Eine Analyse großer Domain-Mengen zeigt Cluster von Domains mit ähnlichen WHOIS-Daten, Registrierungsdaten, Nameserver-Konfigurationen und Hosting-Anbietern – all dies deutet auf koordinierte Keitaro-Bereitstellungen hin.

7. Fingerabdruckerkennung im Admin-Bereich

Auf die Keitaro-Admin-Panels kann über bekannte Pfade zugegriffen werden, und sie geben charakteristische HTML-Strukturen, CSS-Klassennamen und JavaScript-Dateien zurück. Selbst wenn Administratoren die Standard-Anmelde-URL ändern, hinterlässt das Frontend-Framework des Panels identifizierbare Spuren, die durch Pfadaufzählung und Content-Fingerprinting erkannt werden können.

Mehrschichtige Sicherheit

Keine einzelne Erkennungsmethode ist absolut sicher. Erfahrene Angreifer können einzelne Signaturen deaktivieren oder verändern. Deshalb funktioniert die 7-Punkte-Methode als mehrschichtiges System – selbst wenn ein Angreifer drei oder vier Signaturen beseitigt, werden die verbleibenden Methoden den Einsatz dennoch als verdächtig kennzeichnen. In unseren Tests war jedes Keitaro-Panel mit mindestens vier der sieben Methoden nachweisbar.

Weltweite Infrastrukturkarte

Die 1.565 Keitaro-Panels sind über eine globale Hosting-Infrastruktur verteilt, die vor allem auf günstige VPS-Anbieter und Länder mit langen Reaktionszeiten bei Missbrauchsfällen setzt. Hier befinden sich die Panels:

RegionHosting-AnbieterAnmerkungen
Vereinigte StaatenDigitalOcean, Vultr Größte Konzentration an Servern. Das Hosting in den USA sorgt für schnelle Reaktionszeiten für Opfer in Nordamerika.
NiederlandeVerschiedene VPS Beliebt für Kampagnen, die auf Europa ausgerichtet sind. Liberal gestaltete Hosting-Richtlinien.
DeutschlandHetzner, verschiedene Wichtiger Knotenpunkt für Phishing- und E-Commerce-Betrugsaktionen, die auf die EU abzielen.
RusslandVerschiedene kugelsichere Heimatbasis für viele Betreiber. Hosting-Anbieter ohne Maßnahmen gegen Missbrauch.
Vereinigtes KönigreichVerschiedene Clouds Wird eingesetzt, um Finanzinstitute und staatliche Stellen im Vereinigten Königreich anzugreifen.
HongkongFemo-Cluster Eine eigenständige Gruppe von Webseiten, die mit auf Asien ausgerichteten Krypto-Betrugsmaschen in Verbindung steht. Der „Femo-Cluster“ agiert als koordinierte Gruppe.

Die Vorherrschaft der USA

In den Vereinigten Staaten befindet sich die größte Konzentration von Keitaro-Panels, vor allem bei DigitalOcean und Vultr. Dabei handelt es sich um etablierte Cloud-Anbieter, die Missbrauchsmeldungen bearbeiten – doch angesichts der Vielzahl der Bereitstellungen und der Geschwindigkeit, mit der Betreiber neue Instanzen einrichten, haben die Teams zur Bekämpfung von Missbrauch ständig alle Hände voll zu tun, um Schritt zu halten.

Der Femo-Cluster

Ein eigenständiger Cluster von Keitaro-Panels, der über die Infrastruktur in Hongkong betrieben wird und mit Krypto-Betrug und Glücksspielbetrug auf asiatische Märkte abzielt. Der „Femo-Cluster“ weist koordinierte Einsatzmuster auf, die darauf hindeuten, dass ein einzelner Betreiber oder eine organisierte Gruppe Dutzende von Panels gleichzeitig verwaltet.

AWS-Backend

Unabhängig davon, wo die Frontend-Seiten gehostet werden, läuft Keitaros zentraler Datenspeicher auf Amazon Web Services (AWS). Das bedeutet, dass Besucher-Fingerabdrücke, Weiterleitungsprotokolle und Targeting-Daten von potenziell Millionen von Betrugsopfern auf der Infrastruktur von Amazon gespeichert sind. Mit einer Aufbewahrungsdauer von bis zu 9,75 Jahren hostet AWS eine der größten Datenbanken mit Betrugsopfern, die es gibt.

Open-Source-Tools veröffentlicht

Parallel zu dieser Untersuchung veröffentlicht PhishDestroy ein umfassendes Open-Source-Toolkit zur Erkennung von Angriffen. Alle Tools sind kostenlos, erfordern keine API-Schlüssel und können sofort eingesetzt werden. Der vollständige Datensatz mit 1.565 Panels ist enthalten.

Vollständiges Beweisarchiv

Alle Tools, Daten und Belege werden veröffentlicht unter phishdestroy.io/ScamIntelLogs/keitaro/. Das Repository ist öffentlich zugänglich und wird aktualisiert, sobald neue Panels entdeckt werden. Beiträge aus der Community und zusätzliche Erkennungsmethoden sind willkommen.

Aufdecken, melden, zerschlagen

Wie wir die Keitaro-TDS-Panels aufgespürt haben – Methodik der Fingerabdruckanalyse
Wie wir die Keitaro-TDS-Panels aufgespürt haben – Methodik der Fingerabdruckanalyse
Keitaro-TDS-Datenverkehr – wie bösartige Webseiten die Opfer umleiten
Keitaro-TDS-Datenverkehr – wie bösartige Webseiten die Opfer umleiten

Keitaro TDS ist die unsichtbare Infrastruktur, die Betrugsmaschen am Leben erhält. Jedes von Ihnen gemeldete Panel, jede von Ihnen vorgenommene Erkennung und jeder von Ihnen geteilte Datensatz trägt dazu bei, dieses Ökosystem zu zerschlagen. Nutzen Sie die Tools. Teilen Sie die Daten. Melden Sie Ihre Funde.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Verwandte Forschungsarbeiten

Die Flut gefälschter Casinos: 5 Plattformen entlarvt
Vergleichende Analyse von vier Casino-PaaS-Betrieben mit 383 bestätigten Opfern in über 30 Ländern.
„Crypto Drainer“-Toolkit aufgedeckt
Wie TRXDrop und NiceCrypto Wallet-Verbindungen missbrauchen, um Krypto-Vermögenswerte zu stehlen.
Das Projekt: Ein 10-Millionen-Dollar-Betrugsimperium
Ein Blick hinter die Kulissen des Betrugsimperiums, das industrialisierte Betrugsoperationen in riesigem Ausmaß betreibt.
Betrugsgruppen im Vergleich
Ein direkter Vergleich der Strukturen, Werkzeuge und Vorgehensweisen organisierter Betrügerbanden.
PhishDestroy – Tools und Dienstleistungen
Umfassende Suite von Open-Source-Tools zur Erkennung, Analyse und Berichterstellung für Sicherheitsforscher.
Anatomie einer Abschaltung
Eine Schritt-für-Schritt-Anleitung, wie wir Phishing-Infrastrukturen zerschlagen.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →