Quay lại trang Tin tức

Cuộc điều tra ScamIntelLogs + Phát hành công cụ

Keitaro TDS: 1.500 tấm panel bị lộ thông tin và không phát hiện thấy bất kỳ mục đích sử dụng hợp pháp nào

Cơ chế ngụy trang ẩn sau mọi vụ lừa đảo mà bạn chưa từng phát hiện. PhishDestroy đã quét hơn 50.000 trang web, phát hiện 1.565 bảng điều khiển quản trị Keitaro TDS và không tìm thấy bất kỳ trường hợp triển khai hợp pháp nào. Mỗi bảng điều khiển đều có liên quan đến lừa đảo tiền điện tử, lừa đảo qua email (phishing), phát tán phần mềm độc hại hoặc những hành vi nghiêm trọng hơn. Các đối tượng sử dụng bao gồm EvilCorp, phần mềm tống tiền LockBit và VexTrio. Bộ công cụ phát hiện mã nguồn mở, phương pháp luận 7 bước và tệp CSV chứa toàn bộ thông tin về các bảng điều khiển hiện đã được công bố.

Đã tìm thấy 1.565 tấmTỷ lệ phần mềm độc hại 100%7 phương pháp phát hiện4 công cụ đã được phát hành
Keitaro TDS bị phanh phui
0
Đã tìm thấy các bảng điều khiển quản trị
50,000+
Các trang web đã được quét
0%
Các mục đích sử dụng hợp pháp
7
Các phương pháp phát hiện

Keitaro TDS là gì?

Keitaro TDS là một hệ thống phân phối lưu lượng thương mại được phân phối bởi Apliteni OU, một công ty được thành lập tại Estonia. Nhìn bề ngoài, nó tự quảng bá là một công cụ quản lý lưu lượng truy cập dành cho các nhà tiếp thị liên kết. Trên thực tế, đây là công cụ che giấu URL được triển khai rộng rãi nhất trong hệ sinh thái lừa đảo toàn cầu.

Cloaking là kỹ thuật hiển thị nội dung khác nhau cho các người truy cập khác nhau. Khi một nhà nghiên cứu bảo mật, người kiểm duyệt quảng cáo hoặc cán bộ thực thi pháp luật truy cập một URL, Keitaro sẽ nhận diện họ và hiển thị một trang web “sạch”, vô hại. Khi một nạn nhân thực sự truy cập cùng một URL đó, họ sẽ bị chuyển hướng đến các trang lừa đảo tiền điện tử, trang lừa đảo (phishing), các liên kết tải xuống phần mềm độc hại hoặc các trang thương mại điện tử lừa đảo. Nạn nhân không bao giờ nhìn thấy phiên bản "sạch". Nhà phân tích cũng không bao giờ nhìn thấy chiêu lừa đảo.

Mức giá của Keitaro dao động từ Từ 40 € đến 400 € mỗi tháng, qua đó định vị nó như một nền tảng chống gian lận dành cho doanh nghiệp. Nền tảng này lưu trữ dữ liệu người truy cập trong thời gian tối đa 9,75 năm, cung cấp cho các nhà khai thác một bộ dữ liệu khổng lồ bao gồm dấu vân tay của nạn nhân, dữ liệu địa lý và hồ sơ hành vi. Toàn bộ dữ liệu này được lưu trữ trên Cơ sở hạ tầng AWS, có nghĩa là Amazon đang vô tình cung cấp nền tảng hậu trường cho hàng nghìn hoạt động lừa đảo.

Công ty vỏ bọc

Apliteni OU hoạt động từ Estonia, tận dụng chương trình e-Residency của quốc gia này cùng các quy định pháp lý thuận lợi về bảo mật thông tin doanh nghiệp. Công ty này duy trì vẻ bề ngoài hợp pháp thông qua các hoạt động tiếp thị chuyên nghiệp, tài liệu và dịch vụ hỗ trợ khách hàng — trong khi mọi trường hợp triển khai sản phẩm của họ có thể đo lường được đều liên quan đến hoạt động tội phạm. Họ tính phí từ 40–400 €/tháng cho một nền tảng thực chất là “lừa đảo như một dịch vụ” (scam-as-a-service) với thời gian lưu trữ dữ liệu lên đến gần một thập kỷ.

Các con số: 1.565 tấm pin, không có tấm nào hợp lệ

Cuộc điều tra của PhishDestroy bắt đầu từ một giả thuyết đơn giản: nếu Keitaro TDS có những ứng dụng hợp pháp, chúng ta sẽ phát hiện ra chúng trên quy mô lớn. Chúng tôi đã quét Hơn 50.000 trang web bằng cách kết hợp các công cụ tự động và xác minh thủ công, tập trung tìm kiếm các dấu vết đặc trưng của Keitaro TDS. Kết quả chúng tôi thu được là rất rõ ràng.

1.565 bảng điều khiển quản trị Keitaro đang hoạt động đã được phát hiện. Chúng tôi đã phân tích từng trường hợp một. Kết quả là: không có triển khai hợp lệ nào. Không có một nhóm đối tượng nào được sử dụng cho hoạt động tiếp thị liên kết hợp pháp, thử nghiệm A/B hay bất kỳ mục đích vô hại nào khác. Mọi nhóm đối tượng — 100% — đều có liên quan đến hoạt động tội phạm.

1,565
Các bảng điều khiển đang hoạt động
100%
Tỷ lệ phần mềm độc hại
Hơn 50.000
Các trang web đã được quét
9,75 năm
Thời gian lưu trữ dữ liệu tối đa

Phân tích theo loại hình lạm dụng

1.565 bảng điều khiển này được phân bổ vào sáu loại hình lừa đảo chính. Nhiều bảng điều khiển phục vụ đồng thời cho nhiều loại hình, sử dụng cơ chế định tuyến lưu lượng của Keitaro để hướng dẫn nạn nhân đến các hình thức lừa đảo khác nhau tùy theo vị trí địa lý, thiết bị hoặc khung giờ trong ngày.

Loại hình lạm dụngMô tả
Các vụ lừa đảo tiền điện tử Các nền tảng đầu tư lừa đảo, các ứng dụng đánh cắp tiền trong ví, các trang đích lừa đảo kiểu “pig butchering”
Lừa đảo qua email Việc thu thập thông tin đăng nhập từ các ngân hàng, nhà cung cấp dịch vụ email và mạng xã hội
Phân phối phần mềm độc hạiPhân phối trình tải, chuẩn bị phần mềm tống tiền, tải xuống tự động
Gian lận trong thương mại điện tửCác cửa hàng giả mạo, hàng giả, hành vi đánh cắp thông tin thẻ thanh toán
Lừa đảo trong hẹn hòLừa đảo tình cảm, các trang đích tống tiền bằng hình ảnh khiêu dâm, hồ sơ giả mạo
Gian lận trong cờ bạc Các sòng bạc hoạt động trái phép, các nền tảng cá cược gian lận, hành vi chiếm đoạt tiền gửi

Ghi chú về phương pháp luận

Mỗi bảng dữ liệu đều được xác minh bằng ít nhất hai phương pháp phát hiện độc lập trước khi được phân loại. Các kết quả dương tính giả đã được rà soát thủ công và loại trừ. Con số 1.565 chỉ phản ánh các bản cài đặt Keitaro đã được xác nhận và đang hoạt động — con số thực tế về số lượng triển khai, bao gồm cả những bản nằm sau các lớp bảo vệ bổ sung, chắc chắn sẽ cao hơn.

Danh sách khách hàng là đối tượng hình sự

Keitaro TDS không chỉ được sử dụng bởi những kẻ lừa đảo nhỏ lẻ. Đây là hạ tầng che giấu được ưa chuộng nhất của một số tổ chức tội phạm mạng nguy hiểm nhất trên thế giới. Dưới đây là danh sách các khách hàng đã được ghi nhận:

EvilCorp

Tổ chức tội phạm mạng Nga đang bị trừng phạt sử dụng Keitaro để lách qua các lệnh trừng phạt quốc tế. Bằng cách che giấu các hoạt động của mình đằng sau hệ thống phân phối lưu lượng của Keitaro, EvilCorp đã lách qua chính các biện pháp kiểm soát an ninh được thiết kế để vô hiệu hóa chúng. Mỗi lần nhấp chuột được định tuyến qua Keitaro đều là một hành vi vi phạm lệnh trừng phạt, được thực hiện nhờ phần mềm của Apliteni OU.

Phần mềm tống tiền LockBit

Nhóm ransomware LockBit đã tận dụng Keitaro để phát tán phần mềm độc hại, sử dụng khả năng ngụy trang của nó để đảm bảo rằng chỉ các mục tiêu thực sự mới nhận được các gói mã độc ransomware, trong khi các môi trường cách ly bảo mật và các nhà nghiên cứu chỉ nhìn thấy nội dung vô hại. Keitaro đã đóng vai trò như một nhân tố gia tăng sức mạnh cho một trong những chiến dịch ransomware tàn phá nhất trong lịch sử.

VexTrio

Khách hàng lớn nhất của Keitaro mà người ta biết đến. VexTrio hoạt động với Hơn 60 đối tác liên kết và các điều khiển Hơn 86.832 tên miền, tất cả đều chuyển hướng lưu lượng truy cập qua hệ thống phân phối của Keitaro. Hoạt động duy nhất này chiếm một phần rất lớn trong tổng lưu lượng quảng cáo độc hại trên internet, và Keitaro chính là xương sống giúp che giấu hoạt động này.

ClearFake

ClearFake chèn các thông báo cập nhật trình duyệt giả mạo vào các trang web bị xâm nhập, từ đó phát tán phần mềm độc hại khi nạn nhân nhấp vào nút “Cập nhật”. Công nghệ ngụy trang của Keitaro đảm bảo rằng chỉ những người truy cập thực sự mới nhìn thấy lớp phủ độc hại — trong khi các công cụ quét bảo mật chỉ thấy trang web gốc, không chứa mã độc. Kết quả là: việc phát tán phần mềm độc hại với tỷ lệ phát hiện gần như bằng không.

FakeBat

FakeBat là một trình tải phần mềm độc hại được phát tán thông qua các chiến dịch quảng cáo độc hại. Keitaro định tuyến lưu lượng truy cập quảng cáo qua một cơ chế ra quyết định: các công cụ bảo mật sẽ được chuyển hướng đến các trang tải xuống phần mềm hợp pháp, trong khi người dùng thực sự lại nhận được các trình cài đặt bị cài Trojan. Keitaro khiến các chiến dịch quảng cáo độc hại của FakeBat trở nên gần như vô hình đối với các đội ngũ an ninh của các nền tảng quảng cáo.

Bản sao

Một chiến dịch tung tin giả mạo có liên quan đến nhà nước Nga, sử dụng Keitaro để lan truyền tuyên truyền trên các nền tảng mạng xã hội phương Tây. Công nghệ nhận dạng vị trí địa lý và dấu vân tay thiết bị của Keitaro đảm bảo rằng các nhân viên kiểm duyệt nội dung và chuyên gia xác minh thông tin sẽ nhìn thấy nội dung khác so với đối tượng mục tiêu. Chiến tranh thông tin, được hỗ trợ bởi phần mềm thương mại của Estonia.

"Chúng tôi đã phát hiện dấu vết của Keitaro trong mọi vụ án tội phạm mạng quy mô lớn mà chúng tôi điều tra trong 18 tháng qua. Đây không phải là sự trùng hợp ngẫu nhiên — đó chính là tiêu chuẩn ngành của bọn tội phạm."

— Nhóm nghiên cứu PhishDestroy

Phương pháp phát hiện 7 điểm

Trong quá trình điều tra này, PhishDestroy đã phát triển bảy phương pháp độc lập để xác định các trường hợp triển khai Keitaro TDS. Mỗi phương pháp nhắm vào một dấu vết khác nhau mà Keitaro để lại, và khi kết hợp lại, chúng tạo thành một khung phát hiện toàn diện, hiện đã được cung cấp dưới dạng các công cụ mã nguồn mở.

1. /click_api/v3 Điểm cuối

Điểm cuối API cốt lõi của Keitaro để xử lý các sự kiện nhấp chuột. Đường dẫn này được cài đặt cố định trong phần mềm và luôn tồn tại trên mọi bản cài đặt. Kiểm tra điểm cuối này là cách nhanh nhất để xác nhận việc triển khai Keitaro. Phản hồi 200 hoặc 302 tại đường dẫn này gần như chắc chắn là dấu hiệu xác nhận tích cực.

2. _lp / _token / _subid Tham số URL

Keitaro thêm các tham số theo dõi đặc trưng vào các URL trong quá trình chuyển hướng liên tiếp. Các _lp tham số này xác định trang đích, _token hỗ trợ xác thực phiên, và _subid theo dõi các nguồn liên kết cấp dưới. Các tham số này chỉ xuất hiện riêng trong Keitaro và hiếm khi xuất hiện trong các hệ thống quản lý lưu lượng truy cập hợp pháp.

3. Bánh quy dành riêng cho Keitaro

Keitaro thiết lập các tệp cookie đặc trưng để theo dõi các phiên truy cập và duy trì trạng thái ẩn danh. Các tệp cookie này tuân theo quy ước đặt tên khác với các nền tảng phân tích tiêu chuẩn, giúp chúng có thể được nhận diện thông qua việc kiểm tra trình duyệt hoặc phân tích tệp cookie tự động.

4. Các mẫu tiêu đề phản hồi

Các phản hồi từ máy chủ của Keitaro chứa các mẫu tiêu đề HTTP đặc trưng, bao gồm các chỉ thị cache-control cụ thể, các tiêu đề tùy chỉnh và các chuỗi nhận dạng máy chủ khác với các máy chủ web tiêu chuẩn. Các tiêu đề này vẫn tồn tại ngay cả khi các nhà điều hành cố gắng tùy chỉnh hệ thống của họ.

5. Chuỗi chuyển hướng trong JavaScript

Keitaro triển khai các chuỗi chuyển hướng JavaScript nhiều giai đoạn để đánh giá dấu vân tay của người truy cập trước khi quyết định hiển thị trang lừa đảo hay trang an toàn. Các chuỗi chuyển hướng này tuân theo các mẫu có thể dự đoán được — bao gồm tên biến cụ thể, trình tự thời gian và logic đánh giá — có thể được phát hiện thông qua phân tích JavaScript tĩnh và động.

Bản đồ nhiệt toàn cầu: Đã phát hiện 1.565 tấm panel Keitaro TDS trên toàn thế giới, không phát hiện trường hợp sử dụng hợp pháp nào
Bản đồ nhiệt toàn cầu: Đã phát hiện 1.565 tấm panel Keitaro TDS trên toàn thế giới, không phát hiện trường hợp sử dụng hợp pháp nào
6. Phân tích mẫu miền

Các nhà điều hành Keitaro thường đăng ký tên miền theo các quy ước đặt tên và mô hình đăng ký có thể dự đoán được. Phân tích hàng loạt tên miền cho thấy các nhóm tên miền có dữ liệu WHOIS, ngày đăng ký, cấu hình máy chủ tên miền và nhà cung cấp dịch vụ lưu trữ tương tự nhau — tất cả đều cho thấy đây là các đợt triển khai Keitaro được phối hợp thực hiện.

7. Xác định dấu vân tay trên Bảng điều khiển quản trị

Các bảng điều khiển quản trị của Keitaro có thể truy cập được qua các đường dẫn đã biết và trả về các cấu trúc HTML đặc trưng, tên lớp CSS và các tệp JavaScript. Ngay cả khi người vận hành thay đổi URL đăng nhập mặc định, khung công tác giao diện người dùng của bảng điều khiển vẫn để lại các dấu vết có thể nhận diện được, từ đó có thể phát hiện thông qua phương pháp liệt kê đường dẫn và nhận dạng dấu vân tay nội dung.

Bảo vệ đa tầng

Không có phương pháp phát hiện nào là hoàn hảo. Những kẻ tấn công tinh vi có thể vô hiệu hóa hoặc sửa đổi từng dấu vân tay riêng lẻ. Đó là lý do tại sao phương pháp 7 điểm hoạt động như một hệ thống nhiều lớp — ngay cả khi kẻ tấn công loại bỏ được ba hoặc bốn dấu vân tay, các phương pháp còn lại vẫn sẽ phát hiện ra hoạt động triển khai đó. Trong các thử nghiệm của chúng tôi, mỗi tấm panel Keitaro đều có thể được phát hiện bằng ít nhất bốn trong số bảy phương pháp.

Bản đồ cơ sở hạ tầng toàn cầu

1.565 bảng điều khiển Keitaro được phân bố trên một cơ sở hạ tầng lưu trữ toàn cầu, ưu tiên các nhà cung cấp VPS giá rẻ và các khu vực pháp lý có thời gian phản hồi chậm đối với các trường hợp lạm dụng. Dưới đây là vị trí của các bảng điều khiển này:

Khu vựcCác nhà cung cấp dịch vụ lưu trữGhi chú
Hoa KỳDigitalOcean, Vultr Nơi tập trung nhiều máy chủ nhất. Dịch vụ lưu trữ có trụ sở tại Mỹ mang lại thời gian phản hồi nhanh chóng cho các nạn nhân ở Bắc Mỹ.
Hà LanCác loại VPS Được ưa chuộng cho các chiến dịch nhắm đến thị trường châu Âu. Chính sách lưu trữ linh hoạt.
ĐứcHetzner, các loại Hub chính của các hoạt động lừa đảo qua email và gian lận thương mại điện tử nhắm vào Liên minh Châu Âu.
NgaCác loại áo chống đạn Nơi đặt trụ sở chính của nhiều nhà khai thác. Các nhà cung cấp dịch vụ lưu trữ không có chính sách xử lý vi phạm.
Vương quốc AnhCác loại đám mây Được sử dụng để tấn công các tổ chức tài chính và các cơ quan chính phủ của Vương quốc Anh.
Hồng KôngCụm Femo Một nhóm các trang web riêng biệt có liên quan đến các vụ lừa đảo tiền điện tử nhắm vào người dùng châu Á. “Nhóm Femo” hoạt động như một tổ chức có sự phối hợp chặt chẽ.

Sự thống trị của Mỹ

Hoa Kỳ là nơi tập trung nhiều cụm máy chủ Keitaro nhất, chủ yếu trên DigitalOcean và Vultr. Đây là những nhà cung cấp dịch vụ đám mây chính thống có cơ chế xử lý các báo cáo lạm dụng — nhưng do số lượng triển khai quá lớn cùng tốc độ mà các nhà điều hành tạo ra các phiên bản mới quá nhanh, nên các đội ngũ xử lý lạm dụng luôn phải chạy đua để theo kịp.

Cụm Femo

Một cụm các trang web lừa đảo Keitaro hoạt động trên cơ sở hạ tầng tại Hồng Kông, nhắm vào các thị trường châu Á với các chiêu trò lừa đảo tiền điện tử và gian lận cờ bạc. “Cụm Femo” cho thấy các mô hình triển khai có sự phối hợp, cho thấy có một nhà điều hành duy nhất hoặc một nhóm có tổ chức đang quản lý hàng chục trang web lừa đảo cùng lúc.

Hệ thống nền tảng AWS

Bất kể các bảng điều khiển phía trước được lưu trữ ở đâu, hệ thống lưu trữ dữ liệu cốt lõi của Keitaro vẫn chạy trên Amazon Web Services (AWS). Điều này có nghĩa là các thông tin nhận dạng người truy cập, nhật ký chuyển hướng và dữ liệu nhắm mục tiêu liên quan đến hàng triệu nạn nhân tiềm năng của các vụ lừa đảo đang được lưu trữ trên hạ tầng của Amazon. Với thời gian lưu trữ dữ liệu lên đến 9,75 năm, AWS đang lưu trữ một trong những cơ sở dữ liệu lớn nhất hiện nay về nạn nhân của các vụ lừa đảo.

Các công cụ mã nguồn mở đã được phát hành

Song song với cuộc điều tra này, PhishDestroy đang phát hành một bộ công cụ phát hiện mã nguồn mở hoàn chỉnh. Mỗi công cụ đều miễn phí, không yêu cầu khóa API và có thể triển khai ngay lập tức. Bộ dữ liệu đầy đủ gồm 1.565 bảng điều khiển cũng được bao gồm trong đó.

Kho lưu trữ bằng chứng đầy đủ

Tất cả các công cụ, dữ liệu và bằng chứng đều được công bố tại phishdestroy.io/ScamIntelLogs/keitaro/. Kho dữ liệu này là công khai và sẽ được cập nhật khi có các bảng điều khiển mới được phát hiện. Chúng tôi hoan nghênh các đóng góp từ cộng đồng cũng như các phương pháp phát hiện bổ sung.

Phát hiện, Báo cáo, Triệt phá

Cách chúng tôi phát hiện các tấm pin TDS của Keitaro — phương pháp nhận dạng dấu vân tay
Cách chúng tôi phát hiện các tấm pin TDS của Keitaro — phương pháp nhận dạng dấu vân tay
Lưu lượng truy cập Keitaro TDS — cách các trang web độc hại chuyển hướng nạn nhân
Lưu lượng truy cập Keitaro TDS — cách các trang web độc hại chuyển hướng nạn nhân

Keitaro TDS là cơ sở hạ tầng vô hình giúp các hoạt động lừa đảo tiếp tục tồn tại. Mỗi bảng điều khiển bạn báo cáo, mỗi trường hợp phát hiện bạn thực hiện và mỗi bộ dữ liệu bạn chia sẻ đều góp phần phá vỡ hệ sinh thái này. Hãy sử dụng các công cụ. Chia sẻ dữ liệu. Báo cáo những gì bạn phát hiện.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Các nghiên cứu liên quan

“Dịch bệnh” sòng bạc giả mạo: 5 bảng điều khiển bị vạch trần
Phân tích so sánh hoạt động của 4 nền tảng PaaS sòng bạc với 383 nạn nhân đã được xác minh tại hơn 30 quốc gia.
Bộ công cụ “Crypto Drainer” bị phanh phui
Cách TRXDrop và NiceCrypto lợi dụng các kết nối ví để đánh cắp tài sản tiền điện tử.
Dự án: Đế chế lừa đảo trị giá 10 triệu đô la
Bên trong đế chế lừa đảo đang tiến hành các hoạt động gian lận có tổ chức trên quy mô khổng lồ.
So sánh các nhóm lừa đảo
So sánh song song về cơ cấu tổ chức, công cụ và phương thức hoạt động của các nhóm lừa đảo có tổ chức.
Các công cụ và dịch vụ của PhishDestroy
Bộ công cụ mã nguồn mở đầy đủ dành cho các nhà nghiên cứu bảo mật, bao gồm các công cụ phát hiện, phân tích và lập báo cáo.
Phân tích chi tiết một đòn gỡ bỏ
Hướng dẫn từng bước về cách chúng tôi vô hiệu hóa cơ sở hạ tầng lừa đảo.
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →