Вернуться к новостям

Расследование ScamIntelLogs + выпуск инструмента

Keitaro TDS: раскрыто 1 500 панелей, но не обнаружено ни одного законного случая использования

Механизм маскировки, стоящий за каждым мошенничеством, которое вы никогда не замечали. PhishDestroy просканировал более 50 000 сайтов, обнаружил 1 565 административных панелей Keitaro TDS и не нашел ни одного легитимного случая использования. Каждая из этих панелей была связана с криптовалютным мошенничеством, фишингом, распространением вредоносного ПО или чем-то ещё хуже. Среди клиентов — EvilCorp, программа-вымогатель LockBit и VexTrio. Теперь доступны набор инструментов для обнаружения с открытым исходным кодом, 7-ступенчатая методология и полный CSV-файл с данными о панелях.

Найденo 1 565 панелейДоля вредоносных файлов — 100 %7 методов обнаруженияВыпущено 4 инструмента
Разоблачение Keitaro TDS
0
Обнаружены панели администратора
50,000+
Просканированные сайты
0%
Допустимые виды использования
7
Методы обнаружения

Что такое Keitaro TDS?

Keitaro TDS — это коммерческая система распределения трафика, продаваемая компанией «Аплитени» ОУ, компания, зарегистрированная в Эстония. На первый взгляд, он позиционируется как инструмент управления трафиком для партнеров по аффилиатскому маркетингу. На деле же это самый широко используемый механизм маскировки в глобальной экосистеме мошенничества.

«Клоакинг» — это искусство показывать разным посетителям разный контент. Когда исследователь в области безопасности, специалист по проверке рекламы или сотрудник правоохранительных органов заходит на URL-адрес, Keitaro распознает их и выдает чистую, «безобидную» страницу. Когда же настоящая жертва заходит на тот же URL, она перенаправляется на криптовалютные мошеннические сайты, фишинговые страницы, страницы для загрузки вредоносного ПО или мошеннические сайты электронной коммерции. Жертва никогда не видит «чистую» версию страницы. Аналитик никогда не видит мошенничества.

Цены у Кейтаро варьируются от От 40 до 400 евро в месяц, позиционируя её как инфраструктуру для борьбы с мошенничеством корпоративного уровня. Она хранит данные о посетителях в течение периода до 9,75 лет, предоставляя операторам обширный набор данных, включающий отпечатки пальцев жертв, географические данные и поведенческие профили. Все эти данные хранятся на Инфраструктура AWS, а это означает, что Amazon, сама того не подозревая, обеспечивает серверную инфраструктуру для тысяч мошеннических операций.

Подставная компания

«Аплитени» ОУ работает из Эстонии, используя преимущества программы «э-резиденства» этой страны и благоприятного законодательства в области корпоративной конфиденциальности. Компания поддерживает видимость легитимности за счет профессионального маркетинга, документации и службы поддержки клиентов — при этом каждое зафиксированное внедрение их продукта связано с преступной деятельностью. Они взимают плату в размере 40–400 евро в месяц за то, что по сути является платформой «мошенничество как услуга» с хранением данных на протяжении почти десяти лет.

Цифры: 1 565 панелей, ни одной законной

Исследование PhishDestroy началось с простой гипотезы: если у Keitaro TDS есть законные области применения, мы должны обнаружить их в широком масштабе. Мы провели сканирование Более 50 000 сайтов используя сочетание автоматизированных инструментов и ручной проверки, уделяя особое внимание поиску «отпечатков» Keitaro TDS. Наши выводы были однозначными.

1 565 активных панелей администратора Keitaro были обнаружены. Мы проанализировали каждый из них. Результат: нулевое количество легитимных развертываний. Ни одна из панелей не использовалась для законного партнерского маркетинга, A/B-тестирования или каких-либо других безобидных целей. Каждая панель — 100 % — была связана с преступной деятельностью.

1,565
Активные панели
100%
Доля вредоносных сообщений
50K+
Просканированные сайты
9,75 лет
Максимальный срок хранения данных

Разбивка по категориям злоупотреблений

1 565 панелей были распределены по шести основным категориям злоупотреблений. Многие панели обслуживали сразу несколько категорий, используя систему маршрутизации трафика Keitaro для направления жертв к различным типам мошенничества в зависимости от географического положения, типа устройства или времени суток.

Категория злоупотребленийОписание
Криптовалютные мошенничества Поддельные инвестиционные платформы, программы для опустошения кошельков, мошеннические страницы для pig butchering
Фишинг Сбор учетных данных для банков, почтовых сервисов и социальных сетей
Распространение вредоносного ПОДоставка загрузчика, подготовка к запуску программы-вымогателя, «drive-by»-загрузки
Мошенничество в сфере электронной коммерцииПоддельные магазины, контрафактная продукция, скимминг платежных карт
Мошенничество на сайтах знакомствМошенничество с целью завоевания доверия, целевые страницы для сексуального шантажа, фальшивые профили
Мошенничество в сфере азартных игр Нелицензированные казино, подтасованные платформы для ставок, кража депозитов

Примечание по методологии

Каждая панель перед классификацией проверялась с помощью как минимум двух независимых методов обнаружения. Ложные срабатывания проверялись вручную и исключались. Цифра 1 565 отражает только подтвержденные активные установки Keitaro — реальное количество развертываний, включая те, что находятся за дополнительными уровнями защиты, безусловно, выше.

Перечень клиентов по уголовным делам

Система Keitaro TDS используется не только мелкими мошенниками. Это предпочтительная инфраструктура для маскировки, которой пользуются некоторые из самых опасных киберпреступных организаций в мире. Вот список подтвержденных клиентов:

EvilCorp

Российский киберпреступный синдикат, в отношении которого введены санкции, использует Keitaro для обхода международных санкций. Маскируя свою деятельность под трафиком, проходящим через Keitaro, компания EvilCorp обходит те самые меры безопасности, которые призваны положить конец её деятельности. Каждый клик, проходящий через Keitaro, является нарушением санкций, которое становится возможным благодаря программному обеспечению компании Apliteni OU.

Программа-вымогатель LockBit

Группа разработчиков программы-вымогателя LockBit использовала Keitaro для распространения вредоносного ПО, прибегая к его возможностям маскировки, чтобы гарантировать, что полезные нагрузки программы-вымогателя попадали только к реальным целям, в то время как в песочницах систем безопасности и исследователям отображался безобидный контент. Keitaro стал фактором, значительно усиливающим эффективность одной из самых разрушительных операций с использованием программ-вымогателей в истории.

VexTrio

Крупнейший из известных клиентов Keitaro. Компания VexTrio работает с Более 60 партнёров и элементы управления 86 832+ доменов, причём весь трафик проходит через механизм распространения Keitaro. Эта единственная операция обеспечивает значительную долю вредоносного рекламного трафика в Интернете, а Keitaro является той опорой, которая позволяет ей оставаться незаметной.

ClearFake

ClearFake встраивает на взломанные сайты поддельные запросы на обновление браузера, распространяя вредоносное ПО, когда жертвы нажимают кнопку «Обновить». Технология маскировки Keitaro гарантирует, что вредоносный оверлей видят только реальные посетители, а сканеры безопасности — исходный, «чистый» сайт. Результат: распространение вредоносного ПО с практически нулевым уровнем обнаружения.

FakeBat

FakeBat — это загрузчик вредоносного ПО, распространяемый посредством вредоносных рекламных кампаний. Keitaro направляет рекламный трафик через механизм принятия решений: пользователи, использующие средства защиты, перенаправляются на страницы загрузки легального программного обеспечения, в то время как реальным пользователям предлагаются троянские установщики. Keitaro делает вредоносные рекламные кампании FakeBat практически незаметными для служб безопасности рекламных платформ.

Двойник

Российская дезинформационная кампания, связанная с государством, в рамках которой используется программа «Кейтаро» для распространения пропаганды в западных социальных сетях. Благодаря географической и устройственной идентификации «Кейтаро» модераторы контента и специалисты по проверке фактов видят иной контент, чем целевая аудитория. Информационная война, осуществляемая с помощью коммерческого эстонского программного обеспечения.

«Мы обнаружили следы деятельности Keitaro во всех крупных киберпреступных операциях, которые мы расследовали за последние 18 месяцев. Это не совпадение — это отраслевой стандарт для преступников».

— Исследовательская группа PhishDestroy

7-ступенчатая методология обнаружения

В ходе данного расследования компания PhishDestroy разработала семь независимых методов выявления случаев развертывания Keitaro TDS. Каждый из этих методов нацелен на отдельный «отпечаток», который оставляет Keitaro, и в совокупности они образуют комплексную систему обнаружения, которая теперь доступна в виде инструментария с открытым исходным кодом.

1. /click_api/v3 Конечная точка

Основной конечный пункт API Keitaro для обработки событий кликов. Этот путь жестко запрограммирован в программном обеспечении и присутствует в каждой установке. Проверка наличия этого конечного пункта — самый быстрый способ подтвердить наличие Keitaro в системе. Ответ с кодом 200 или 302 по этому пути практически наверняка свидетельствует о наличии Keitaro.

2. _lp / _token / _subid Параметры URL

Keitaro добавляет к URL-адресам специальные параметры отслеживания во время цепочек перенаправлений. _lp параметр определяет целевую страницу, _token обеспечивает аутентификацию на уровне сеанса, и _subid отслеживает источники субпартнеров. Эти параметры являются уникальными для Keitaro и редко встречаются в легитимных системах управления трафиком.

3. Печенье, посвящённое Кэйтаро

Keitaro устанавливает специальные файлы cookie для отслеживания сеансов посетителей и поддержания состояния маскировки. Эти файлы cookie имеют имена, не соответствующие стандартным конвенциям, принятым на аналитических платформах, что позволяет их идентифицировать с помощью инструментов просмотра браузера или автоматического анализа файлов cookie.

4. Шаблоны заголовков ответов

Ответы сервера Кейтаро содержат характерные шаблоны HTTP-заголовков, в том числе определённые директивы `Cache-Control`, пользовательские заголовки и строки идентификации сервера, которые отличаются от стандартных веб-серверов. Эти заголовки сохраняются даже в тех случаях, когда операторы пытаются настроить свои установки.

5. Цепочки перенаправлений в JavaScript

Keitaro использует многоступенчатые перенаправления в JavaScript для анализа «отпечатков» посетителей, прежде чем принять решение о том, показывать ли мошенническую страницу или безопасную. Эти цепочки перенаправлений следуют предсказуемым шаблонам — с использованием определённых имён переменных, последовательностей действий и логики оценки — которые можно выявить с помощью статического и динамического анализа JavaScript.

Глобальная тепловая карта: по всему миру обнаружено 1 565 панелей Keitaro TDS, законных случаев использования не выявлено
Глобальная тепловая карта: по всему миру обнаружено 1 565 панелей Keitaro TDS, законных случаев использования не выявлено
6. Анализ шаблонов доменов

Операторы Keitaro, как правило, регистрируют домены в соответствии с предсказуемыми конвенциями именования и схемами регистрации. Анализ больших массивов доменов выявляет кластеры доменов с похожими данными WHOIS, датами регистрации, настройками серверов имен и хостинг-провайдерами — все это указывает на скоординированные развертывания Keitaro.

7. Идентификация по отпечаткам пальцев в панели администратора

Доступ к панелям администрирования Keitaro осуществляется по известным адресам, при этом они возвращают характерные HTML-структуры, имена классов CSS и файлы JavaScript. Даже если администраторы изменяют URL-адрес входа по умолчанию, интерфейсная часть панели оставляет идентифицируемые следы, которые можно обнаружить с помощью перебора адресов и анализа отпечатков контента.

Многоуровневая защита

Ни один метод обнаружения не является абсолютно надежным. Опытные злоумышленники могут отключить или изменить отдельные «отпечатки». Именно поэтому 7-ступенчатая методология работает как многоуровневая система — даже если злоумышленник устранит три или четыре «сигнатуры», оставшиеся методы все равно выявят установку. В ходе наших испытаний каждая панель Keitaro была обнаружена как минимум четырьмя из семи методов.

Карта глобальной инфраструктуры

1 565 панелей Keitaro распределены по глобальной хостинговой инфраструктуре, в которой предпочтение отдается недорогим провайдерам VPS и юрисдикциям с длительным временем реагирования на сообщения о злоупотреблениях. Вот где расположены эти панели:

РегионПровайдеры хостингаПримечания
Соединенные ШтатыDigitalOcean, Vultr Наибольшая концентрация серверов. Хостинг, расположенный в США, обеспечивает быстрое время отклика для пользователей из Северной Америки.
НидерландыРазличные VPS Популярно для рекламных кампаний, ориентированных на европейский рынок. Либеральная политика хостинга.
ГерманияHetzner, различные Крупный центр операций по фишингу и мошенничеству в сфере электронной коммерции, направленных на страны ЕС.
РоссияРазличные виды бронезащиты База для многих операторов. Хостинг-провайдеры, не принимающие мер по борьбе со злоупотреблениями.
ВеликобританияРазличные облака Используется для атак на финансовые учреждения и государственные службы Великобритании.
ГонконгКластер «Фемо» Отдельный кластер сайтов, связанных с криптовалютными мошенничествами, направленными на азиатскую аудиторию. «Кластер Femo» действует как скоординированная группа.

Доминирование США

В Соединенных Штатах сосредоточено наибольшее количество панелей Keitaro, в основном на платформах DigitalOcean и Vultr. Это крупные облачные провайдеры, которые обрабатывают сообщения о злоупотреблениях, однако из-за огромного количества развертываний и высокой скорости, с которой операторы запускают новые инстансы, команды по борьбе со злоупотреблениями постоянно вынуждены бежать за событиями.

Кластер «Фемо»

Отдельный кластер панелей Keitaro, работающий на базе инфраструктуры в Гонконге и нацеленный на азиатские рынки с целью проведения криптовалютных мошенничеств и мошенничества в сфере азартных игр. «Кластер Femo» демонстрирует скоординированные схемы развертывания, что указывает на наличие единого оператора или организованной группы, одновременно управляющей десятками панелей.

Бэкенд AWS

Независимо от того, где размещены интерфейсные панели, основное хранилище данных Keitaro работает на Amazon Web Services (AWS). Это означает, что на инфраструктуре Amazon хранятся идентификационные данные посетителей, журналы перенаправлений и данные о таргетировании, касающиеся, возможно, миллионов жертв мошенничества. Учитывая срок хранения данных до 9,75 лет, AWS является хостинг-провайдером одной из крупнейших существующих баз данных жертв мошенничества.

Выпущены инструменты с открытым исходным кодом

Параллельно с этим исследованием PhishDestroy выпускает полный набор инструментов для обнаружения с открытым исходным кодом. Все инструменты бесплатны, не требуют API-ключей и готовы к немедленному использованию. В комплект входит полный набор данных, включающий 1 565 панелей.

checker.html

Веб-сервис для проверки панелей Keitaro. Откройте его в любом браузере, введите URL-адрес и получите мгновенные результаты проверки. Установка не требуется. Использует 7-точечную методологию на стороне клиента.

keitaro_hunter_4.py

Сканер на Python для массового обнаружения Keitaro. Достаточно предоставить ему список доменов, и он запустит все 7 методов обнаружения, выведя в результатах подтвержденные панели с показателями достоверности. Предназначен для специалистов по безопасности и исследователей.

worker.js

Cloudflare Worker для обнаружения Keitaro в режиме реального времени. Разверните его в своей учетной записи Cloudflare, и он будет перехватывать запросы в режиме реального времени, выявляя трафик, замаскированный с помощью Keitaro, до того, как он достигнет пользователей. Защита с нулевой задержкой на периферии.

panels.csv

Полный набор данных по всем 1 565 подтвержденным панелям администратора Keitaro. Включает IP-адреса, имена хостов, сработавшие методы обнаружения, хостинг-провайдеров и географические данные. Регулярно обновляется.

Полный репозиторий доказательств

Все инструменты, данные и доказательства опубликованы по адресу phishdestroy.io/ScamIntelLogs/keitaro/. Репозиторий является общедоступным и будет пополняться по мере обнаружения новых панелей. Приветствуются вклады со стороны сообщества и предложения по дополнительным методам обнаружения.

Выявление, сообщение, ликвидация

Как мы обнаружили панели Keitaro TDS — методология идентификации по «отпечаткам»
Как мы обнаружили панели Keitaro TDS — методология идентификации по «отпечаткам»
Трафик Keitaro TDS — как вредоносные панели перенаправляют жертв
Трафик Keitaro TDS — как вредоносные панели перенаправляют жертв

Keitaro TDS — это невидимая инфраструктура, которая поддерживает деятельность мошенников. Каждая панель, о которой вы сообщаете, каждое обнаружение, которое вы делаете, и каждый набор данных, которым вы делитесь, помогают разрушить эту экосистему. Используйте инструменты. Делитесь данными. Сообщайте о том, что обнаруживаете.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Связанные исследования

Эпидемия поддельных казино: разоблачение 5 мошеннических сайтов
Сравнительный анализ деятельности 4 операторов казино, предоставляющих услуги по модели PaaS, с участием 383 подтвержденных жертв из более чем 30 стран.
Раскрыты подробности о наборе инструментов «Crypto Drainer»
Как TRXDrop и NiceCrypto используют подключения к кошелькам в своих преступных целях для кражи криптовалютных активов.
Проект: «Империя мошенничества» на 10 млн долларов
Внутри мошеннической империи, организовавшей масштабные операции по мошенничеству.
Сравнение мошеннических группировок
Сравнительный анализ структур, инструментов и методов работы организованных мошеннических группировок.
Инструменты и услуги PhishDestroy
Полный набор инструментов с открытым исходным кодом для обнаружения, анализа и составления отчетов, предназначенный для исследователей в области безопасности.
Анатомия ликвидации
Пошаговое руководство по ликвидации фишинговой инфраструктуры.
Уведомление о прозрачности. PhishDestroy — это некоммерческий независимый проект. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →