Понад 150 підроблених розширень Mozilla — одна серверна платформа та платні медіа
ЗМІ звинуватили «російських ведмедів» у створенні понад 150 підроблених розширень Mozilla. Наші розслідування виявили інфраструктуру в Нігерії (IP-адреса 185.208.156.66), повторно використані фішингові набори та те, як оплачені статті сприяли поширенню цього міфу.
Оманлива розповідь
Історія про «Понад 150 підроблених розширень Mozilla» Інформація, пов’язана з нібито «російським слідом», набула широкого розголосу в провідних ЗМІ, що висвітлюють теми криптовалют та безпеки. Це звучить драматично, але наш аналіз показує, що така версія подій вводить в оману — а що гірше, це прикриває справжніх винуватців.
Понад 150 розширень низької якості на одному сервері
Усі розширення в рамках цієї кампанії були такими:
- Неоригінальний, наче скопійовано-вставлено.
- Різнилися лише логотипи та назви.
- Усі підключені до єдиний бекенд.
185.208.156.66Домен бекенду був
alladdsite[.]digital/app.php. Більшість доменів, пов’язаних із цією IP-адресою, наразі недіючі, але архіви зберегли їхні знімки за допомогою Urlscan та WebArchive. Наші дії проти цієї кампанії
Як незалежна група з аналізу загроз, що спеціалізується на ліквідаціях інфраструктури фішингу та шахрайства, ми:
- Надіслали звіти безпосередньо до Mozilla, щоб повідомити про шкідливі розширення.
- Передано на розгляд Печатка, звернувшись із проханням про професійну допомогу для прискорення процесу заборони.
- Опублікували звіт на Chainabuse для інформування спільноти.
- Внесли мільйони порожніх фраз-насіння в серверну частину зловмисників, щоб забруднити викрадені дані.
Чому це не «російська» інфраструктура
Російськомовні зловмисники зазвичай використовують:
- Розподілені серверні компоненти (Cloudflare Workers, Firebase, Amazon, унікальні посилання для кожної кампанії).
- Заплутування коду та надмірність для уникнення одиничних точок відмови.
Натомість ця кампанія продемонструвала:
- A Нігерійський хостинг-провайдер.
- Суміжні домени, пов’язані з банківськими шахрайствами, підробленими криптовалютними гаманцями та шахрайством із підробленими доставками.
- Акаунт у Telegram, на який надходять викрадені дані, пов’язані з Нігерійський оператор.
Проблема платних медіа
Платні розміщення в ЗМІ мають серйозні наслідки:
- Опубліковано одну платну статтю в авторитетному виданні.
- Сотні невеликих сайтів, блогів та каналів у Telegram переписують або перекладають цей матеріал.
- За лічені дні це перетворюється на масштабну фейкову історію, яка створює ілюзію правдивості.
Приклад: Енджел Дрейнер
Усі провідні ЗМІ висвітлювали цю тему у своїх заголовках «Angel Drainer було вимкнено після того, як розробники встановили його авторів». Але чи це була правда — чи просто чергова оплачена реклама, яку повторювали доти, доки вона не стала здаватися правдоподібною? Для злочинців купівля статей — це дрібні гроші; для жертв же це змінює все.
Компанії з кібербезпеки, які самостійно займаються своїми PR-кампаніями
Компанії, що займаються кібербезпекою, платять десятки тисяч доларів за статті про себе, свої дослідження та свій вплив. Це викликає принципові питання:
- Чому справжня група з кібербезпеки повинна платити за висвітлення в ЗМІ?
- Чи намагаються вони приховати сліди справжнього хакера?
- Або використати особисті дані хакера для шантажу чи отримання конкурентної переваги?
- Мета полягає в тому, щоб зміцнити довіру — чи маніпулювати сприйняттям заради прибутку?
Дані про ринок
Ця практика не є таємницею:
- На платформах Fiverr, Upwork та спеціалізованих PR-біржах можна безпосередньо придбати «гостьові публікації».
- Постачальники надсилають таблиці Google Sheets із десятками торгових точок та цінами — у тому числі від відомих брендів у сфері кібербезпеки.
- Деякі обіцяють: «за додаткову плату — без рекламних наклейок».
Серед заявлених цілей придбання статей можна назвати такі:
- Побудова посилань (SEO).
- Трафік та продажі.
- Впізнаваність бренду.
- Управління репутацією (приховування негативної інформації).
- Соціальна верифікація.
- Перелік документів, що подаються при поданні заявки на візу.
Зазначені витрати включають понад $20,000 щодо оплачуваних ефірних слотів для інтерв’ю у провідних ЗМІ, що висвітлюють криптовалюту.
Бізнес проти брехні
Публікація платного контенту не є незаконною — це бізнес. Але коли це переходить у публікація неправдивих тверджень, введення слідства в оману та видавання піар-акцій за факти, це стає частиною проблеми.
Висновок
PhishDestroy — це незалежна ініціатива у сфері кібербезпеки, яка не отримує оплату, не продає рекламу та не отримує прибутку. Факти очевидні:
- Понад 150 розширень Mozilla, що перенаправляються на єдиний сервер на нігерійському хостингу.
- Дані надійшли на нігерійський акаунт у Telegram.
- Нарратив про «російський слід» є вигаданим.
- Оплачені ЗМІ роздули цю вигадку доти, доки вона не стала схожою на правду.
- Навіть самі компанії, що займаються кібербезпекою, витрачають кошти на саморекламу.
Застереження
Ми не звинувачуємо жодну особу, компанію чи ЗМІ. Усі факти є загальнодоступними та можуть бути перевірені за допомогою публічних архівів, сканованих документів та звітів. Справжнє питання полягає в тому: Чому такі наративи контролюються та поширюються? Кому вигідно, коли невідома охоронна компанія публікує недостовірне масштабне розслідування, яке відволікає увагу від справжніх винуватців?



