Mozilla Fake Extensions Investigation
Новости › Расследования
Расследование • Время чтения: 6–8 минут

Более 150 поддельных расширений Mozilla — единая серверная часть и платные рекламные каналы

СМИ обвинили «российских медведей» в создании более 150 поддельных расширений для Mozilla. Наши исследования выявили инфраструктуру в Нигерии (IP-адрес 185.208.156.66), повторно использованные фишинговые наборы, а также то, как платные статьи способствовали распространению этого мифа.

Время чтения: 4 минуты· Обновлено Март 2026 года· PhishDestroy Intelligence
Читайте полную версию статьи в блоге
Первоначально опубликовано на Средний — PhishDestroy

Вводящая в заблуждение интерпретация

История о «Более 150 поддельных расширений Mozilla» Связь с якобы существующим «российским следом» широко освещалась в ведущих изданиях, специализирующихся на криптовалютах и вопросах безопасности. Это звучит драматично, но наш анализ показывает, что такая интерпретация вводит в заблуждение — и что еще хуже, это прикрывает настоящих виновников.

Более 150 низкокачественных расширений на одном бэкенде

Все расширения в этой кампании были:

  • Неоригинально, похоже на скопированный текст.
  • Различались лишь логотипы и названия.
  • Все подключено к единый бэкенд.
IP-адрес бэкэнда: 185.208.156.66
Домен бэкэнда был alladdsite[.]digital/app.php. Большинство доменов, связанных с этим IP-адресом, сейчас не работают, но их архивы сохранили моментальные снимки с помощью Urlscan и WebArchive.

Наши действия в ответ на эту кампанию

Как группа добровольцев, занимающаяся анализом угроз и специализирующаяся на ликвидации инфраструктуры фишинга и мошенничества, мы:

  • Отправлял отчеты непосредственно в Mozilla для выявления вредоносных расширений.
  • Передано Там, обратившись за профессиональной помощью в целях ускорения процесса запрета.
  • Опубликовал отчет на Chainabuse для информирования сообщества.
  • Внедрил миллионы пустых семенных фраз в бэкэнд злоумышленников, чтобы загрязнить похищенные данные.

Почему это не «российская» инфраструктура

Русскоязычные злоумышленники обычно используют:

  • Распределенные бэкэнды (Cloudflare Workers, Firebase, Amazon, уникальные ссылки для каждой кампании).
  • Использование методов обфускации и резервирования для предотвращения появления единичных точек отказа.

Напротив, эта кампания продемонстрировала:

  • A Нигерийский хостинг-провайдер.
  • Смежные домены, связанные с банковскими мошенничествами, поддельными криптовалютными кошельками и мошенничеством с поддельными доставками.
  • Аккаунт в Telegram, на который поступают похищенные данные, связанные с Нигерийский оператор.
«Российские группировки создают сложные инфраструктуры. А эта была дешевой, централизованной и примитивной — именно такой, какую мы уже видели ранее на нигерийских серверах».

Проблема платных медиа

Платные рекламные размещения влекут за собой серьезные последствия:

  1. Опубликована одна платная статья в авторитетном издании.
  2. Сотни небольших сайтов, блогов и каналов в Telegram перепечатывают или переводят его.
  3. В считанные дни это превращается в широко распространенную фальшивую историю, создающую видимость достоверности.
«Жертвы видят «российский след», считают дело закрытым и перестают обращаться в органы. Настоящие преступники остаются безнаказанными».

Пример: Энджел Дрейнер

Все крупные СМИ вышли с заголовками о «Angel Drainer был закрыт после того, как были выявлены разработчики». Но было ли это правдой — или просто очередной платной рекламой, которую повторяли до тех пор, пока она не стала выглядеть правдоподобно? Для преступников покупка статей — мелочь, а для жертв это меняет всё.

Компании, занимающиеся кибербезопасностью, сами занимаются своим пиаром

Компании, занимающиеся кибербезопасностью, платят десятки тысяч долларов за статьи о себе, своих исследованиях и своем влиянии. Это вызывает ряд принципиальных вопросов:

  • Почему настоящей группе по кибербезопасности нужно платить за страховое покрытие?
  • Они пытаются замести следы настоящего хакера?
  • Или использовать личность хакера для шантажа или получения конкурентного преимущества?
  • Цель заключается в укреплении доверия — или в манипулировании восприятием ради прибыли?
«Если кибербезопасность превратится в очередную пиар-игру, в которой факты определяются тем, кто больше заплатит, доверие к этой сфере рухнет».

Данные рынка

Эта практика не скрывается:

  • На платформах Fiverr, Upwork и специализированных PR-биржах можно напрямую приобрести «гостевые посты».
  • Поставщики присылают в Google Sheets списки с десятками торговых точек и ценами — в том числе от известных брендов в сфере кибербезопасности.
  • Некоторые обещают: «За дополнительную плату — без рекламных надписей».

Среди заявленных целей покупки статей можно выделить следующие:

  • Создание ссылок (SEO).
  • Трафик и продажи.
  • Узнаваемость бренда.
  • Управление репутацией (устранение негативной информации).
  • Социальная верификация.
  • Списки документов для подачи заявления на визу.

Указанные расходы включают в себя 20 000 долларов для приобретения платных интервью в ведущих криптовалютных СМИ.

«Это не журналистика. Это рынок, на котором доверие покупают и продают».

Бизнес против лжи

Публикация платного контента не является незаконной — это бизнес. Но когда дело доходит до публикация ложных утверждений, сбивание следа расследований и выдача пиар-акций за факты, оно становится частью проблемы.

Заключение

PhishDestroy — это волонтерская инициатива в области кибербезопасности, которая не получает вознаграждения, не размещает рекламу и не извлекает прибыль. Факты говорят сами за себя:

  • Более 150 расширений Mozilla, подключенных к единому серверу на хостинге в Нигерии.
  • Данные были отправлены на нигерийский аккаунт в Telegram.
  • Нарратив о «русском следе» является выдумкой.
  • Освещение в платных СМИ раздуло эту выдумку до тех пор, пока она не стала выглядеть как правда.
  • Даже сами компании, занимающиеся кибербезопасностью, тратятся на саморекламу.
«Продажа рекламы — это бизнес. Продажа лжи под видом фактов защищает преступников. А когда даже сфера кибербезопасности начинает продавать ложные нарративы, проигрывают и жертвы, и справедливость».

Отказ от ответственности

Мы не обвиняем никого лично, ни компании, ни СМИ. Все факты являются общедоступными и могут быть проверены с помощью открытых источников, сканированных документов и отчетов. Настоящий вопрос заключается в следующем: Почему такие нарративы подвергаются цензуре и получают широкое распространение? Кому выгодно, когда неизвестная компания, занимающаяся вопросами безопасности, публикует неточный «мега-расследование», которое отвлекает внимание от реальных виновников?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Поделиться этим расследованием

X / Twitter Telegram Reddit LinkedIn

Связанные расследования

Keitaro TDS: 1,500 Panels Exposed, Zero Legit Uses
РАССЛЕДОВАНИЕ
Keitaro TDS: 1 500 панелей подверглись утечке, легитимных вариантов использования нет
Steam BlockBlasters Malware: Platform Negligence Exposed
РАССЛЕДОВАНИЕ
Вредоносное ПО «BlockBlasters» в Steam: раскрыта халатность платформы
Scammers Exposed: 4 Scam Backends Dissected
РАССЛЕДОВАНИЕ
Разоблачение мошенников: анализ 4-х бэкэндов мошеннических схем
Уведомление о прозрачности. PhishDestroy — это некоммерческий проект, осуществляемый силами волонтеров. Наши исследования могут отражать некоторую предвзятость в отношении инфраструктуры мошенничества и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все представленные материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →