Механізм маскування, що стоїть за кожним шахрайством, якого ви ніколи не бачили. PhishDestroy просканував понад 50 000 сайтів, виявив 1 565 адміністративних панелей Keitaro TDS і не знайшов жодного легітимного використання. Кожна з цих панелей була пов’язана з криптовалютним шахрайством, фішингом, розповсюдженням шкідливого ПЗ або чимось ще гіршим. Серед клієнтів — EvilCorp, програмне забезпечення для вимагання викупу LockBit та VexTrio. Наразі оприлюднено набір інструментів для виявлення з відкритим кодом, 7-крокову методологію та повний CSV-файл з даними про панелі.
~10 хв. на читання· Оновлено Березень 2026 року· PhishDestroy Intelligence
Знайдено 1 565 панелейРівень шкідливості — 100 %7 Методів виявленняВипущено 4 інструменти
0
Знайдено панелі адміністратора
50,000+
Перевірені сайти
0%
Дозволені види використання
7
Методи виявлення
Що таке Keitaro TDS?
Keitaro TDS — це комерційна система розподілу трафіку, яку реалізує «Аплітені» ОУ, компанія, зареєстрована в Естонія. На перший погляд, ця система позиціонує себе як інструмент управління трафіком для партнерських маркетологів. Насправді ж це найпоширеніший механізм маскування в глобальній екосистемі шахрайства.
«Клокінг» — це мистецтво показувати різний контент різним відвідувачам. Коли дослідник у сфері безпеки, експерт з перевірки реклами або співробітник правоохоронних органів заходить на певну URL-адресу, Keitaro ідентифікує їх і показує чисту, «невинну» сторінку. Коли ж справжня жертва заходить на той самий URL-адресу, її перенаправляють на криптошахрайські сайти, фішингові сторінки, сторінки для завантаження шкідливого програмного забезпечення або шахрайські сайти електронної комерції. Жертва ніколи не бачить «чисту» версію. Аналітик ніколи не бачить шахрайства.
Ціни у «Кейтаро» варіюються від від 40 до 400 євро на місяць, позиціонуючи її як інфраструктуру для боротьби з шахрайством корпоративного рівня. Вона зберігає дані відвідувачів протягом періоду до 9,75 років, надаючи операторам величезний масив даних, що містить відбитки пальців жертв, географічні дані та профілі поведінки. Усі ці дані зберігаються на Інфраструктура AWS, тобто Amazon, сам того не усвідомлюючи, забезпечує серверну інфраструктуру для тисяч шахрайських операцій.
Фіктивна компанія
«Аплітені» ОУ працює з Естонії, використовуючи програму «е-резиденства» цієї країни та сприятливе законодавство щодо конфіденційності корпоративних даних. Компанія підтримує видимість легітимності за допомогою професійного маркетингу, документації та служби підтримки клієнтів — хоча кожне зафіксоване використання їхнього продукту пов’язане зі злочинною діяльністю. Вони беруть плату в розмірі 40–400 євро на місяць за те, що фактично є платформою «шахрайство як послуга» із зберіганням даних протягом майже десяти років.
Цифри: 1 565 панелей, жодної дійсної
Дослідження PhishDestroy розпочалося з простої гіпотези: якщо у Keitaro TDS є законні сфери застосування, ми маємо виявити їх у значних масштабах. Ми просканували Понад 50 000 сайтів застосовуючи поєднання автоматизованих інструментів та ручної перевірки, зосередившись саме на пошуку «відбитків» Keitaro TDS. Наші висновки були однозначними.
1 565 активних панелей адміністратора Keitaro були виявлені. Ми проаналізували кожну з них. Результат: нуль законних розгортань. Жодна з панелей не використовувалася для законного партнерського маркетингу, A/B-тестування чи будь-яких інших нешкідливих цілей. Кожна панель — 100% — була пов’язана зі злочинною діяльністю.
1,565
Активні панелі
100%
Рівень шкідливої активності
50 тис.+
Перевірені сайти
9,75 років
Максимальний термін зберігання даних
Розподіл за категоріями зловживань
1 565 панелей було розподілено між шістьма основними категоріями зловживань. Багато панелей обслуговували одразу кілька категорій, використовуючи систему маршрутизації трафіку Keitaro для перенаправлення жертв до різних типів шахрайства залежно від географічного розташування, пристрою або часу доби.
Категорія зловживань
Опис
Криптовалютні шахрайства
Фейкові інвестиційні платформи, програми для викачування коштів з гаманців, шахрайські цільові сторінки для pig butchering
Фішинг
Збір облікових даних банків, поштових сервісів та соціальних мереж
Поширення шкідливого програмного забезпечення
Доставка завантажувачів, підготовка до запуску програм-вимагачів, приховане завантаження
Романтичне шахрайство, цільові сторінки для сексторції, фейкові профілі
Шахрайство у сфері азартних ігор
Неліцензовані казино, фальсифіковані платформи для ставок, крадіжки коштів з депозитів
Методологічна примітка
Кожна панель перед класифікацією була перевірена щонайменше двома незалежними методами виявлення. Помилкові спрацьовування були перевірені вручну та виключені. Цифра 1 565 відображає лише підтверджені активні інсталяції Keitaro — реальна кількість розгортань, включаючи ті, що знаходяться за додатковими рівнями захисту, безперечно є більшою.
Перелік клієнтів у кримінальних справах
Keitaro TDS використовують не лише дрібні шахраї. Це інфраструктура для маскування, яку обирають деякі з найнебезпечніших кіберзлочинних організацій на планеті. Ось перелік задокументованих клієнтів:
EvilCorp
Російський кіберзлочинний синдикат, що перебуває під санкціями, використовує Keitaro для обходу міжнародних санкцій. Маскуючи свою діяльність під трафіком, що проходить через Keitaro, компанія EvilCorp обходить ті самі заходи безпеки, які покликані її зупинити. Кожен клік, що проходить через Keitaro, є порушенням санкцій, яке стає можливим завдяки програмному забезпеченню компанії Apliteni OU.
Програма-вимагач LockBit
Група хакерів LockBit використовувала Keitaro для розповсюдження шкідливого програмного забезпечення, застосовуючи його можливості маскування, щоб гарантувати, що лише справжні цілі отримували шкідливі навантаження, тоді як пісочниці систем безпеки та дослідники бачили нешкідливий вміст. Keitaro став фактором, що значно посилив ефективність однієї з найруйнівніших операцій із використанням програм-вимагачів в історії.
VexTrio
Найбільший відомий клієнт компанії «Кейтаро». Компанія «VexTrio» працює з Понад 60 партнерів та елементи керування 86 832+ доменів, і всі вони направляють трафік через механізм розповсюдження Keitaro. Ця єдина операція становить значну частину шкідливого рекламного трафіку в Інтернеті, а Keitaro є основою, яка забезпечує його прихованість.
ClearFake
ClearFake вставляє на зламані веб-сайти підроблені повідомлення про оновлення браузера, завантажуючи шкідливе програмне забезпечення, коли жертви натискають кнопку «Оновити». Технологія маскування Keitaro гарантує, що шкідливе накладне вікно бачать лише справжні відвідувачі, тоді як сканери безпеки бачать оригінальний, чистий веб-сайт. Результат: завантаження шкідливого програмного забезпечення з майже нульовим рівнем виявлення.
FakeBat
FakeBat — це завантажувач шкідливого програмного забезпечення, що поширюється через шкідливі рекламні кампанії. Keitaro направляє рекламний трафік через механізм прийняття рішень: засоби безпеки перенаправляються на легітимні сторінки завантаження програмного забезпечення, тоді як справжнім користувачам пропонуються інсталятори, заражені троянами. Keitaro робить рекламні кампанії FakeBat практично непомітними для команд з безпеки рекламних платформ.
Двійник
Російська дезінформаційна кампанія, пов’язана з державою, яка використовує Keitaro для поширення пропаганди в західних соціальних мережах. Географічні та пристройові відбитки Keitaro гарантують, що модератори контенту та фахівці з перевірки фактів бачать інший контент, ніж цільова аудиторія. Інформаційна війна, що ведеться за допомогою комерційного естонського програмного забезпечення.
«Ми виявили сліди діяльності «Кейтаро» у кожній великій операції з кіберзлочинності, яку розслідували за останні 18 місяців. Це не випадковість — це галузевий стандарт для злочинців».
— Дослідницька група PhishDestroy
7-бальна методологія виявлення
У ході цього розслідування компанія PhishDestroy розробила сім незалежних методів виявлення випадків розгортання Keitaro TDS. Кожен із цих методів спрямований на виявлення певного «відбитка», який залишає Keitaro, і разом вони утворюють комплексну систему виявлення, яка тепер доступна у вигляді інструментарію з відкритим кодом.
1. /click_api/v3 Кінцева точка
Основна точка кінцевого API Keitaro для обробки подій кліків. Цей шлях жорстко запрограмований у програмному забезпеченні та присутній у кожній інсталяції. Перевірка наявності цієї точки кінцевого API — найшвидший спосіб підтвердити наявність розгортання Keitaro. Відповідь із кодом 200 або 302 за цим шляхом є майже стовідсотковим підтвердженням наявності Keitaro.
2. _lp / _token / _subid Параметри URL-адреси
Keitaro додає до URL-адрес особливі параметри відстеження під час ланцюжків перенаправлень. Цей _lp параметр визначає цільову сторінку, _token забезпечує сесійну автентифікацію, а також _subid відстежує джерела субафіліатів. Ці параметри є унікальними для Keitaro і рідко зустрічаються в легітимних системах управління трафіком.
3. Файли cookie, пов’язані з Keitaro
Keitaro встановлює особливі файли cookie для відстеження сеансів відвідувачів та збереження стану маскування. Ці файли cookie відповідають правилам іменування, що відрізняються від стандартних аналітичних платформ, завдяки чому їх можна ідентифікувати за допомогою перевірки браузера або автоматизованого аналізу файлів cookie.
4. Шаблони заголовків відповіді
Відповіді сервера Keitaro містять характерні шаблони HTTP-заголовків, зокрема певні директиви cache-control, власні заголовки та рядки ідентифікації сервера, які відрізняються від стандартних веб-серверів. Ці заголовки зберігаються навіть тоді, коли оператори намагаються налаштувати свої інсталяції.
5. Ланцюжки перенаправлень у JavaScript
Keitaro використовує багатоетапні перенаправлення JavaScript для аналізу «відбитків» відвідувачів, перш ніж прийняти рішення про те, чи показувати шахрайську сторінку, чи безпечну. Ці ланцюжки перенаправлень відповідають передбачуваним шаблонам — конкретним іменам змінних, послідовностям у часі та логіці оцінки — які можна виявити за допомогою статичного та динамічного аналізу JavaScript.
Карта поширення у світі: по всьому світу виявлено 1 565 панелей Keitaro TDS, легальних випадків використання не виявлено
6. Аналіз шаблонів доменів
Оператори Keitaro, як правило, реєструють домени, дотримуючись передбачуваних правил іменування та схем реєстрації. Аналіз великих масивів доменів виявляє скупчення доменів зі схожими даними WHOIS, датами реєстрації, конфігураціями серверів імен та хостинг-провайдерами — і все це вказує на скоординовані розгортання Keitaro.
7. Ідентифікація адміністративної панелі
Доступ до адміністративних панелей Keitaro здійснюється за відомими шляхами, і вони повертають характерні HTML-структури, імена CSS-класів та файли JavaScript. Навіть коли адміністратори змінюють URL-адресу входу за замовчуванням, фреймворк інтерфейсу панелі залишає ідентифікаційні сліди, які можна виявити за допомогою переліку шляхів та аналізу відбитків вмісту.
Багаторівневий захист
Жоден окремий метод виявлення не є безвідмовним. Досвідчені зловмисники можуть вимкнути або змінити окремі «відбитки пальців». Саме тому 7-пунктна методологія працює як багаторівнева система — навіть якщо зловмисник усуне три чи чотири «підписи», решта методів все одно виявлять розгортання. Під час наших випробувань кожна панель Keitaro була виявлена щонайменше чотирма з семи методів.
Карта світової інфраструктури
1 565 панелей Keitaro розміщені в глобальній інфраструктурі хостингу, яка віддає перевагу дешевим провайдерам VPS та юрисдикціям із повільним часом реагування на зловживання. Ось де розташовані ці панелі:
Регіон
Провайдери хостингу
Примітки
Сполучені Штати
DigitalOcean, Vultr
Найбільша кількість серверів. Хостинг, розташований у США, забезпечує швидкий час відгуку для користувачів із Північної Америки.
Нідерланди
Різні VPS
Популярний для кампаній, орієнтованих на європейський ринок. Ліберальна політика щодо хостингу.
Німеччина
Hetzner, різні
Основний Hub операцій з фішингу та шахрайства в сфері електронної комерції, спрямованих на країни ЄС.
Росія
Різні види куленепробивних
База для багатьох операторів. Хостинг-провайдери, які не вживають жодних заходів щодо боротьби зі зловживаннями.
Велика Британія
Різні хмари
Використовується для атак на фінансові установи та державні служби Великої Британії.
Гонконг
Кластер «Фемо»
Окремий кластер сайтів, пов’язаний із криптовалютними шахрайськими схемами, спрямованими на азіатських користувачів. «Кластер Femo» діє як злагоджена група.
Домінування США
У Сполучених Штатах зосереджена найбільша кількість панелей Keitaro, переважно на платформах DigitalOcean та Vultr. Це провідні хмарні провайдери, які обробляють повідомлення про зловживання, — однак через великий обсяг розгортань та швидкість, з якою оператори запускають нові екземпляри, команди, що борються зі зловживаннями, постійно намагаються наздогнати ситуацію.
Кластер «Фемо»
Окремий кластер панелей Keitaro, що функціонує на базі інфраструктури Гонконгу та націлений на азіатські ринки з метою здійснення криптовалютних шахрайств та шахрайства у сфері азартних ігор. «Кластер Femo» демонструє скоординовані схеми розгортання, що свідчить про наявність єдиного оператора або організованої групи, яка одночасно керує десятками панелей.
Бекенд AWS
Незалежно від того, де розміщені інтерфейсні панелі, основне сховище даних Keitaro працює на Amazon Web Services (AWS). Це означає, що на інфраструктурі Amazon зберігаються «відбитки» відвідувачів, журнали перенаправлень та дані про таргетинг, що стосуються, можливо, мільйонів жертв шахрайства. З огляду на термін зберігання даних, що становить до 9,75 років, AWS є хостинг-провайдером однієї з найбільших існуючих баз даних про жертв шахрайства.
Випущено інструменти з відкритим кодом
Паралельно з цим розслідуванням PhishDestroy випускає повний набір інструментів для виявлення з відкритим кодом. Усі інструменти є безкоштовними, не потребують API-ключів і готові до негайного використання. До набору входить повний набір даних, що містить 1 565 панелей.
Усі інструменти, дані та докази опубліковано за адресою phishdestroy.io/ScamIntelLogs/keitaro/. Репозиторій є загальнодоступним і буде оновлюватися у міру виявлення нових панелей. Ми радо вітаємо внески від спільноти та додаткові методи виявлення.
Виявляти, повідомляти, ліквідувати
Як ми виявили панелі Keitaro TDS — методологія ідентифікації за «відбитками пальців» Трафік Keitaro TDS — як шкідливі панелі перенаправляють жертв
Keitaro TDS — це невидима інфраструктура, яка підтримує діяльність шахраїв. Кожна панель, про яку ви повідомляєте, кожне виявлення, яке ви робите, та кожен набір даних, яким ви ділитеся, допомагають зруйнувати цю екосистему. Користуйтеся інструментами. Діліться даними. Повідомляйте про те, що ви виявили.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →