Перейти до основного вмісту
Розслідування щодо підроблених розширень Mozilla
Розслідування • Час читання: 6–8 хв.

Понад 150 підроблених розширень Mozilla — одна серверна платформа та платні медіа

ЗМІ звинуватили «російських ведмедів» у створенні понад 150 підроблених розширень Mozilla. Наші розслідування виявили інфраструктуру в Нігерії (IP-адреса 185.208.156.66), повторно використані фішингові набори та те, як оплачені статті сприяли поширенню цього міфу.

Вперше опубліковано на Medium — PhishDestroy

Оманлива розповідь

Історія про «Понад 150 підроблених розширень Mozilla» Інформація, пов’язана з нібито «російським слідом», набула широкого розголосу в провідних ЗМІ, що висвітлюють теми криптовалют та безпеки. Це звучить драматично, але наш аналіз показує, що така версія подій вводить в оману — а що гірше, це прикриває справжніх винуватців.

Понад 150 розширень низької якості на одному сервері

Усі розширення в рамках цієї кампанії були такими:

  • Неоригінальний, наче скопійовано-вставлено.
  • Різнилися лише логотипи та назви.
  • Усі підключені до єдиний бекенд.
IP-адреса сервера: 185.208.156.66
Домен бекенду був alladdsite[.]digital/app.php. Більшість доменів, пов’язаних із цією IP-адресою, наразі недіючі, але архіви зберегли їхні знімки за допомогою Urlscan та WebArchive.

Наші дії проти цієї кампанії

Як незалежна група з аналізу загроз, що спеціалізується на ліквідаціях інфраструктури фішингу та шахрайства, ми:

  • Надіслали звіти безпосередньо до Mozilla, щоб повідомити про шкідливі розширення.
  • Передано на розгляд Печатка, звернувшись із проханням про професійну допомогу для прискорення процесу заборони.
  • Опублікували звіт на Chainabuse для інформування спільноти.
  • Внесли мільйони порожніх фраз-насіння в серверну частину зловмисників, щоб забруднити викрадені дані.

Чому це не «російська» інфраструктура

Російськомовні зловмисники зазвичай використовують:

  • Розподілені серверні компоненти (Cloudflare Workers, Firebase, Amazon, унікальні посилання для кожної кампанії).
  • Заплутування коду та надмірність для уникнення одиничних точок відмови.

Натомість ця кампанія продемонструвала:

  • A Нігерійський хостинг-провайдер.
  • Суміжні домени, пов’язані з банківськими шахрайствами, підробленими криптовалютними гаманцями та шахрайством із підробленими доставками.
  • Акаунт у Telegram, на який надходять викрадені дані, пов’язані з Нігерійський оператор.
«Російські угруповання створюють складні інфраструктури. Ця ж була дешевою, централізованою та примітивною — саме такою, яку ми вже бачили раніше на нігерійських серверах».

Проблема платних медіа

Платні розміщення в ЗМІ мають серйозні наслідки:

  1. Опубліковано одну платну статтю в авторитетному виданні.
  2. Сотні невеликих сайтів, блогів та каналів у Telegram переписують або перекладають цей матеріал.
  3. За лічені дні це перетворюється на масштабну фейкову історію, яка створює ілюзію правдивості.
«Потерпілі бачать «російський слід», вважають, що справа закрита, і перестають звертатися до правоохоронних органів. Справжні злочинці залишаються безкарними».

Приклад: Енджел Дрейнер

Усі провідні ЗМІ висвітлювали цю тему у своїх заголовках «Angel Drainer було вимкнено після того, як розробники встановили його авторів». Але чи це була правда — чи просто чергова оплачена реклама, яку повторювали доти, доки вона не стала здаватися правдоподібною? Для злочинців купівля статей — це дрібні гроші; для жертв же це змінює все.

Компанії з кібербезпеки, які самостійно займаються своїми PR-кампаніями

Компанії, що займаються кібербезпекою, платять десятки тисяч доларів за статті про себе, свої дослідження та свій вплив. Це викликає принципові питання:

  • Чому справжня група з кібербезпеки повинна платити за висвітлення в ЗМІ?
  • Чи намагаються вони приховати сліди справжнього хакера?
  • Або використати особисті дані хакера для шантажу чи отримання конкурентної переваги?
  • Мета полягає в тому, щоб зміцнити довіру — чи маніпулювати сприйняттям заради прибутку?
«Якщо кібербезпека перетвориться на чергову піар-гру, де факти формуються залежно від того, хто більше платить, то довіра до цієї сфери впаде».

Дані про ринок

Ця практика не є таємницею:

  • На платформах Fiverr, Upwork та спеціалізованих PR-біржах можна безпосередньо придбати «гостьові публікації».
  • Постачальники надсилають таблиці Google Sheets із десятками торгових точок та цінами — у тому числі від відомих брендів у сфері кібербезпеки.
  • Деякі обіцяють: «за додаткову плату — без рекламних наклейок».

Серед заявлених цілей придбання статей можна назвати такі:

  • Побудова посилань (SEO).
  • Трафік та продажі.
  • Впізнаваність бренду.
  • Управління репутацією (приховування негативної інформації).
  • Соціальна верифікація.
  • Перелік документів, що подаються при поданні заявки на візу.

Зазначені витрати включають понад $20,000 щодо оплачуваних ефірних слотів для інтерв’ю у провідних ЗМІ, що висвітлюють криптовалюту.

«Це не журналістика. Це ринок — де довіру купують і продають».

Бізнес проти брехні

Публікація платного контенту не є незаконною — це бізнес. Але коли це переходить у публікація неправдивих тверджень, введення слідства в оману та видавання піар-акцій за факти, це стає частиною проблеми.

Висновок

PhishDestroy — це незалежна ініціатива у сфері кібербезпеки, яка не отримує оплату, не продає рекламу та не отримує прибутку. Факти очевидні:

  • Понад 150 розширень Mozilla, що перенаправляються на єдиний сервер на нігерійському хостингу.
  • Дані надійшли на нігерійський акаунт у Telegram.
  • Нарратив про «російський слід» є вигаданим.
  • Оплачені ЗМІ роздули цю вигадку доти, доки вона не стала схожою на правду.
  • Навіть самі компанії, що займаються кібербезпекою, витрачають кошти на саморекламу.
«Продаж реклами — це бізнес. Продаж брехні під виглядом фактів захищає злочинців. А коли навіть у сфері кібербезпеки продають наративи, програють і жертви, і справедливість».

Застереження

Ми не звинувачуємо жодну особу, компанію чи ЗМІ. Усі факти є загальнодоступними та можуть бути перевірені за допомогою публічних архівів, сканованих документів та звітів. Справжнє питання полягає в тому: Чому такі наративи контролюються та поширюються? Кому вигідно, коли невідома охоронна компанія публікує недостовірне масштабне розслідування, яке відволікає увагу від справжніх винуватців?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

Keitaro TDS: 1 500 панелей зазнали витоку, жодного законного застосування
РОЗСЛІДУВАННЯ
Keitaro TDS: 1 500 панелей зазнали витоку, жодного законного застосування
Шкідливе ПЗ «BlockBlasters» на Steam: викрито недбалість платформи
РОЗСЛІДУВАННЯ
Шкідливе ПЗ «BlockBlasters» на Steam: викрито недбалість платформи
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →