Haberlere Geri Dön

ScamIntelLogs Soruşturması + Aracın Yayınlanması

Keitaro TDS: 1.500 Panel Açığa Çıktı ve Hiçbir Meşru Kullanım Tespit Edilmedi

Hiç görmediğiniz her dolandırıcılığın ardındaki gizleme motoru. PhishDestroy, 50.000’den fazla siteyi taradı, 1.565 Keitaro TDS yönetici paneli tespit etti ve tek bir meşru kullanım örneği bile bulamadı. Her bir panel, kripto dolandırıcılığı, kimlik avı, kötü amaçlı yazılım dağıtımı ya da daha kötü faaliyetlerle bağlantılıydı. Müşteriler arasında EvilCorp, LockBit fidye yazılımı ve VexTrio yer alıyor. Açık kaynaklı tespit araç seti, 7 maddelik metodoloji ve tam panel CSV dosyası şimdi yayınlandı.

1.565 panel bulundu%100 Kötü Amaçlılık Oranı7 Tespit Yöntemi4 Araç Yayınlandı
Keitaro TDS'nin Gerçeği Ortaya Çıktı
0
Bulunan Yönetici Panelleri
50,000+
Taranan Siteler
0%
Meşru Kullanımlar
7
Tespit Yöntemleri

Keitaro TDS Nedir?

Keitaro TDS, şu şirket tarafından satılan ticari bir Trafik Dağıtım Sistemidir: Apliteni OU, şu ülkede kurulmuş bir şirket: Estonya. Görünüşte, bu platform kendini bağlı pazarlamacılar için bir trafik yönetimi aracı olarak tanıtmaktadır. Oysa gerçekte, küresel dolandırıcılık ekosisteminde en yaygın şekilde kullanılan tek gizleme motorudur.

Gizleme, farklı ziyaretçilere farklı içerik gösterme sanatıdır. Bir güvenlik araştırmacısı, reklam denetçisi veya kolluk görevlisi bir URL’yi ziyaret ettiğinde, Keitaro bu kişileri tespit eder ve onlara temiz, zararsız bir sayfa sunar. Gerçek bir kurban aynı URL'yi ziyaret ettiğinde ise kripto dolandırıcılığına, kimlik avı sayfalarına, kötü amaçlı yazılım indirme sayfalarına veya sahte e-ticaret sitelerine yönlendirilir. Kurban, temiz sürümü asla görmez. Analist ise dolandırıcılığı asla görmez.

Keitaro'nun fiyatları şu aralıkta değişmektedir: Ayda 40 € ile 400 € arası, onu kurumsal düzeyde bir dolandırıcılık önleme altyapısı olarak konumlandırıyor. Ziyaretçi verilerini en fazla 9,75 yıl, operatörlere mağdurların parmak izleri, coğrafi veriler ve davranış profillerinden oluşan devasa bir veri seti sunuyor. Tüm bu veriler AWS altyapısı, yani Amazon, farkında olmadan binlerce dolandırıcılık operasyonunun arka planını barındırıyor.

Paravan Şirket

Apliteni OU Estonya'dan faaliyet göstermekte olup, ülkenin e-Yurttaşlık programından ve kurumsal gizlilik konusunda elverişli yasal düzenlemelerden yararlanmaktadır. Şirket, profesyonel pazarlama, belgeleme ve müşteri desteği yoluyla meşru bir görünüm sergiliyor; ancak ürünlerinin ölçülebilir her kullanımı suç faaliyetleriyle bağlantılıdır. Neredeyse on yıllık veri saklama süresine sahip, fiilen bir “dolandırıcılık hizmeti” platformu olan bu hizmet için aylık 40–400 € ücret talep ediyorlar.

Rakamlar: 1.565 panel, sıfır geçerli

PhishDestroy’un araştırması basit bir hipotezle başladı: Keitaro TDS’nin meşru kullanım alanları varsa, bunları geniş ölçekte tespit etmemiz gerekir. Tarama yaptık 50.000'den fazla site otomatik araçlar ile manuel doğrulamayı bir arada kullanarak, özellikle Keitaro TDS’ye ait izleri araştırdık. Elde ettiğimiz sonuçlar son derece netti.

1.565 aktif Keitaro yönetici paneli keşfedildi. Her birini tek tek inceledik. Sonuç: hiçbir meşru dağıtım yok. Hiçbir panel, yasal ortaklık pazarlaması, A/B testi ya da başka herhangi bir zararsız amaç için kullanılmıyordu. Her panel — %100 — suç faaliyetleriyle bağlantılıydı.

1,565
Etkin Paneller
100%
Kötü Amaçlı Oranı
50.000+
Taranan Siteler
9,75 yıl
Maksimum Veri Saklama Süresi

İstismar Kategorilerinin Dağılımı

1.565 panel, altı ana suistimal kategorisine dağıtıldı. Birçok panel, Keitaro’nun trafik yönlendirme sistemini kullanarak kurbanları coğrafi konuma, cihaza veya günün saatine göre farklı dolandırıcılık türlerine yönlendirerek aynı anda birden fazla kategoriye hizmet verdi.

İstismar KategorisiAçıklama
Kripto Dolandırıcılıkları Sahte yatırım platformları, cüzdan boşaltıcılar, pig butchering açılış sayfaları
Kimlik avı Bankalar, e-posta sağlayıcıları ve sosyal medya platformlarına yönelik kimlik bilgisi hırsızlığı
Kötü Amaçlı Yazılımların YayılmasıYükleyici dağıtımı, fidye yazılımı hazırlığı, otomatik indirme
E-ticaret DolandırıcılığıSahte mağazalar, taklit ürünler, ödeme kartı bilgilerinin çalınması
Flört DolandırıcılığıAşk dolandırıcılığı, cinsel şantaj amaçlı açılış sayfaları, sahte profiller
Kumar Dolandırıcılığı Ruhsatsız kumarhaneler, hileli bahis platformları, para yatırma hırsızlığı

Metodoloji Notu

Her bir panel, sınıflandırılmadan önce en az iki bağımsız tespit yöntemi ile doğrulanmıştır. Yanlış pozitif sonuçlar manuel olarak incelenmiş ve hariç tutulmuştur. 1.565 rakamı, yalnızca teyit edilmiş, aktif Keitaro kurulumlarını temsil etmektedir — ek koruma katmanlarının arkasında bulunanlar da dahil olmak üzere gerçek kurulum sayısı kesinlikle daha yüksektir.

Ceza Davası Müvekkillerinin Adlarının Okunması

Keitaro TDS sadece küçük çaplı dolandırıcılar tarafından kullanılmıyor. Bu sistem, dünyadaki en tehlikeli siber suç örgütlerinden bazılarının tercih ettiği gizleme altyapısıdır. İşte belgelenmiş müşterileri:

EvilCorp

Yaptırım uygulanan Rus siber suç örgütü, uluslararası yaptırımları aşmak için Keitaro’yu kullanıyor. EvilCorp, faaliyetlerini Keitaro’nun trafik dağıtımının arkasına gizleyerek, kendilerini durdurmak için tasarlanmış güvenlik kontrollerinden kaçınıyor. Keitaro üzerinden yönlendirilen her tıklama, Apliteni OU’nun yazılımı sayesinde mümkün hale gelen bir yaptırım ihlalidir.

LockBit Fidye Yazılımı

LockBit fidye yazılımı grubu, kötü amaçlı yazılım dağıtımı için Keitaro’yu kullandı ve gizleme özelliklerinden yararlanarak, yalnızca gerçek hedeflerin fidye yazılımı yüklerini almasını sağlarken, güvenlik sanal ortamları ve araştırmacıların ise zararsız içerik görmesini sağladı. Keitaro, tarihin en yıkıcı fidye yazılımı operasyonlarından birinde etki çarpanı olarak işlev gördü.

VexTrio

Bilinen en büyük Keitaro müşterisi. VexTrio, şu şekilde faaliyet göstermektedir: 60'tan fazla iş ortağı ve denetimler 86.832'den fazla alan adı, hepsi de trafiği Keitaro’nun dağıtım motoru üzerinden yönlendiriyor. Bu tek operasyon, internet üzerindeki kötü amaçlı reklam trafiğinin çok büyük bir kısmını oluşturuyor ve Keitaro, bu trafiği görünmez kılan omurga görevi görüyor.

ClearFake

ClearFake, ele geçirilmiş web sitelerine sahte tarayıcı güncelleme uyarıları ekleyerek, kurbanlar “Güncelle” düğmesine tıkladıklarında kötü amaçlı yazılımı yükler. Keitaro’nun gizleme özelliği, yalnızca gerçek ziyaretçilerin bu zararlı üst katmanı görmesini sağlarken, güvenlik tarayıcıları orijinal ve temiz web sitesini görür. Sonuç: tespit oranı neredeyse sıfır olan kötü amaçlı yazılım dağıtımı.

FakeBat

FakeBat, kötü amaçlı reklam kampanyaları yoluyla yayılan bir kötü amaçlı yazılım yükleyicisidir. Keitaro, reklam trafiğini bir karar motoru üzerinden yönlendirir: güvenlik araçları meşru yazılım indirme sayfalarına yönlendirilirken, gerçek kullanıcılara trojan bulaştırılmış yükleyiciler sunulur. Keitaro, FakeBat’ın kötü amaçlı reklam kampanyalarını reklam platformlarının güvenlik ekipleri için neredeyse görünmez hale getirir.

Doppelganger

Keitaro'yu kullanarak Batı sosyal medya platformlarında propaganda yaymaya yönelik, Rus devletiyle bağlantılı bir dezenformasyon kampanyası. Keitaro'nun coğrafi ve cihaz parmak izi teknolojisi, içerik denetçileri ile doğrulama uzmanlarının hedef kitleden farklı içerikler görmesini sağlıyor. Estonya menşeli ticari bir yazılımla desteklenen bilgi savaşı.

"Son 18 ayda soruşturduğumuz her büyük siber suç operasyonunda Keitaro’nun izlerini bulduk. Bu bir tesadüf değil — suçlular için sektör standardıdır."

— PhishDestroy Araştırma Ekibi

7 Maddelik Tespit Metodolojisi

Bu araştırma süresince PhishDestroy, Keitaro TDS kurulumlarını tespit etmek için yedi farklı yöntem geliştirdi. Her yöntem, Keitaro’nun geride bıraktığı farklı bir izi hedef almaktadır ve bu yöntemler bir araya gelerek, artık açık kaynaklı araçlar olarak kullanıma sunulan kapsamlı bir tespit çerçevesi oluşturmaktadır.

1. /click_api/v3 Uç nokta

Keitaro'nun tıklama olaylarını işlemek için kullandığı temel API uç noktası. Bu yol, yazılıma sabit olarak kodlanmıştır ve her kurulumda mevcuttur. Bu uç noktasını kontrol etmek, bir Keitaro kurulumunu doğrulamanın en hızlı yoludur. Bu yolda alınan 200 veya 302 yanıtı, neredeyse kesin bir şekilde olumlu bir tanımlama anlamına gelir.

2. _lp / _token / _subid URL Parametreleri

Keitaro, yönlendirme zincirleri sırasında URL’lere kendine özgü izleme parametreleri ekler. Bu _lp Bu parametre açılış sayfasını tanımlar, _token oturum kimlik doğrulamasını sağlar ve _subid alt iş ortağı kaynaklarını izler. Bu parametreler Keitaro’ya özgüdür ve meşru trafik yönetim sistemlerinde nadiren görülür.

3. Keitaro’ya Özgü Çerezler

Keitaro, ziyaretçi oturumlarını izlemek ve gizleme durumunu korumak için kendine özgü çerezler yerleştirir. Bu çerezler, standart analiz platformlarından farklı adlandırma kurallarına uyar; bu sayede tarayıcı incelemesi veya otomatik çerez analizi yoluyla tespit edilebilirler.

4. Yanıt Başlık Kalıpları

Keitaro sunucusunun yanıtları, belirli cache-control yönergeleri, özel başlıklar ve standart web sunucularından farklı olan sunucu tanımlama dizeleri dahil olmak üzere kendine özgü HTTP başlık kalıpları içerir. Bu başlıklar, operatörler kurulumlarını özelleştirmeye çalıştıklarında bile devam eder.

5. JavaScript Yönlendirme Zincirleri

Keitaro, dolandırıcılık sayfasını mı yoksa güvenli sayfayı mı göstereceğine karar vermeden önce ziyaretçilerin parmak izlerini değerlendirmek üzere çok aşamalı JavaScript yönlendirmeleri kullanır. Bu yönlendirme zincirleri, statik ve dinamik JavaScript analizi yoluyla tespit edilebilen öngörülebilir kalıplar — belirli değişken adları, zamanlama dizileri ve değerlendirme mantığı — izler.

Dünya ısı haritası: Dünya genelinde 1.565 Keitaro TDS paneli tespit edildi, 0 meşru kullanım tespit edildi
Dünya ısı haritası: Dünya genelinde 1.565 Keitaro TDS paneli tespit edildi, 0 meşru kullanım tespit edildi
6. Etki Alanı Desen Analizi

Keitaro operatörleri, genellikle öngörülebilir adlandırma kuralları ve kayıt kalıpları doğrultusunda alan adlarını kaydettirme eğilimindedir. Toplu alan adı analizi, benzer WHOIS verilerine, kayıt tarihlerine, ad sunucusu yapılandırmalarına ve barındırma sağlayıcılarına sahip alan adı kümelerini ortaya çıkarmaktadır; bunların tümü, koordineli Keitaro dağıtımlarına işaret etmektedir.

7. Yönetici Paneli Parmak İzi Tanımlama

Keitaro yönetim panellerine bilinen yollardan erişilebilir ve bu paneller kendine özgü HTML yapıları, CSS sınıf adları ve JavaScript dosyaları döndürür. Operatörler varsayılan oturum açma URL’sini değiştirse bile, panelin ön uç çerçevesi, yol sayımı ve içerik parmak izi analizi yoluyla tespit edilebilen tanımlanabilir izler bırakır.

Kademeli Savunma

Hiçbir tekil tespit yöntemi kusursuz değildir. Tecrübeli operatörler, tek tek parmak izlerini devre dışı bırakabilir veya değiştirebilir. Bu nedenle 7 aşamalı metodoloji, katmanlı bir sistem olarak işler — bir operatör üç ya da dört imzayı ortadan kaldırsa bile, geri kalan yöntemler yine de dağıtımı tespit edecektir. Yaptığımız testlerde, her bir Keitaro paneli yedi yöntemden en az dördü tarafından tespit edilebildi.

Küresel Altyapı Haritası

1.565 adet Keitaro paneli, ucuz VPS sağlayıcılarını ve kötüye kullanım bildirimlerine yanıt sürelerinin uzun olduğu yargı bölgelerini tercih eden küresel bir barındırma altyapısı üzerinde dağıtılmıştır. Panellerin bulunduğu yerler şunlardır:

BölgeBarındırma SağlayıcılarıNotlar
Amerika Birleşik DevletleriDigitalOcean, Vultr En yoğun panel dağılımı. ABD merkezli barındırma hizmeti, Kuzey Amerikalı mağdurlara hızlı yanıt süreleri sunar.
HollandaÇeşitli VPS'ler Avrupa’yı hedefleyen kampanyalar için popülerdir. Esnek barındırma politikaları.
AlmanyaHetzner, çeşitli AB’yi hedef alan kimlik avı ve e-ticaret dolandırıcılığı operasyonlarının başlıca Hub’ı.
RusyaÇeşitli kurşun geçirmez Birçok operatörün ana üssü. Kötüye kullanımla ilgili hiçbir yaptırım uygulamayan barındırma sağlayıcıları.
Birleşik KrallıkÇeşitli bulutlar Birleşik Krallık’taki finans kurumlarını ve devlet hizmetlerini hedef almak için kullanılır.
Hong KongFemo kümesi Asya’yı hedef alan kripto dolandırıcılıklarıyla bağlantılı, kendine özgü bir panel kümesi. “Femo kümesi”, koordineli bir grup olarak faaliyet göstermektedir.

ABD’nin Hakimiyeti

Keitaro panellerinin en yoğun olduğu ülke Amerika Birleşik Devletleri’dir; bunlar ağırlıklı olarak DigitalOcean ve Vultr üzerinde yer almaktadır. Bu iki şirket, kötüye kullanım bildirimlerini işleyen yaygın bulut hizmet sağlayıcılarıdır; ancak dağıtımların hacmi ve operatörlerin yeni örnekleri devreye alma hızı nedeniyle, kötüye kullanımla mücadele ekipleri sürekli olarak geride kalmaktadır.

Femo Kümesi

Hong Kong altyapısı üzerinden faaliyet gösteren ve kripto para dolandırıcılığı ile kumar dolandırıcılığı yoluyla Asya pazarlarını hedef alan, kendine özgü bir Keitaro paneli kümesi. “Femo kümesi”, tek bir operatörün ya da organize bir grubun düzinelerce paneli aynı anda yönettiğini düşündüren koordineli dağıtım kalıpları sergilemektedir.

AWS Arka Ucu

Ön uç panellerinin nerede barındırıldığına bakılmaksızın, Keitaro’nun temel veri depolama sistemi şu platformda çalışır: Amazon Web Hizmetleri (AWS). Bu, potansiyel olarak milyonlarca dolandırıcılık mağduruna ait ziyaretçi parmak izleri, yönlendirme günlükleri ve hedefleme verilerinin Amazon altyapısında depolandığı anlamına geliyor. Verileri 9,75 yıla kadar saklayan AWS, mevcut en büyük dolandırıcılık mağdurları veritabanlarından birine ev sahipliği yapıyor.

Açık Kaynaklı Araçlar Yayınlandı

Bu araştırmanın yanı sıra, PhishDestroy eksiksiz bir açık kaynaklı tespit araç seti yayınlıyor. Her araç ücretsizdir, API anahtarı gerektirmez ve hemen kullanıma alınabilir. 1.565 panelden oluşan tam veri kümesi de dahil edilmiştir.

Tam Kanıt Arşivi

Tüm araçlar, veriler ve kanıtlar şu adreste yayınlanmaktadır: phishdestroy.io/ScamIntelLogs/keitaro/. Bu veri havuzu herkese açıktır ve yeni paneller keşfedildikçe güncellenecektir. Topluluktan gelecek katkılar ve ek tespit yöntemleri memnuniyetle karşılanacaktır.

Tespit Et, Bildir, Ortadan Kaldır

Keitaro TDS panellerini nasıl tespit ettik — parmak izi belirleme yöntemi
Keitaro TDS panellerini nasıl tespit ettik — parmak izi belirleme yöntemi
Keitaro TDS trafik akışı — kötü niyetli panellerin kurbanları nasıl başka adreslere yönlendirdiği
Keitaro TDS trafik akışı — kötü niyetli panellerin kurbanları nasıl başka adreslere yönlendirdiği

Keitaro TDS, dolandırıcılık faaliyetlerini ayakta tutan görünmez altyapıdır. Bildirdiğiniz her panel, yaptığınız her tespit ve paylaştığınız her veri kümesi, bu ekosistemin ortadan kaldırılmasına katkıda bulunur. Araçları kullanın. Verileri paylaşın. Bulduklarınızı bildirin.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

İlgili Araştırmalar

Sahte Kumarhane Salgını: 5 Panel Ortaya Çıktı
30'dan fazla ülkede 383 doğrulanmış mağdurun bulunduğu 4 kumarhane PaaS operasyonunun karşılaştırmalı analizi.
Crypto Drainer Araç Seti Ortaya Çıktı
TRXDrop ve NiceCrypto, kripto varlıklarını çalmak için cüzdan bağlantılarını nasıl bir araç olarak kullanıyor?
Proje: 10 milyon dolarlık dolandırıcılık imparatorluğu
Devasa ölçekte endüstriyel dolandırıcılık faaliyetleri yürüten dolandırıcılık imparatorluğunun iç yüzü.
Dolandırıcılık Gruplarının Karşılaştırılması
Organize dolandırıcılık ekiplerinin yapıları, araçları ve operasyonel yöntemlerinin yan yana karşılaştırması.
PhishDestroy Araçları ve Hizmetleri
Güvenlik araştırmacıları için açık kaynaklı algılama, analiz ve raporlama araçlarından oluşan eksiksiz bir paket.
Bir Kaldırmanın Anatomisi
Kimlik avı altyapısını nasıl ortadan kaldırdığımızın adım adım açıklaması.
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →