返回新闻

ScamIntelLogs 调查报告及工具发布

Keitaro TDS:1,500个面板遭泄露,未发现任何正当用途

你从未见过的每起诈骗背后都隐藏着这一隐身引擎。PhishDestroy 扫描了 50,000 多个网站,发现了 1,565 个 Keitaro TDS 管理面板,且未发现任何合法部署。每一个面板都与加密货币诈骗、网络钓鱼、恶意软件分发甚至更恶劣的行为有关。 其客户包括EvilCorp、LockBit勒索软件和VexTrio。开源检测工具包、7点方法论以及完整的控制面板CSV文件现已发布。

找到 1,565 个面板100% 恶意率7 检测方法发布了4款工具
Keitaro TDS 内幕曝光
0
已找到的管理面板
50,000+
已扫描的网站
0%
合法用途
7
检测方法

什么是Keitaro TDS?

Keitaro TDS 是一款由……销售的商用交通分流系统 Apliteni 有限责任公司,一家在……注册成立的公司 爱沙尼亚. 表面上看,它将自己定位为联盟营销人员的流量管理工具。实际上,它是全球诈骗生态系统中部署最广泛的伪装引擎。

“隐身”是一种向不同访问者展示不同内容的技巧。当安全研究人员、广告审核员或执法人员访问某个网址时,Keitaro 会识别他们的身份,并向其展示一个干净、无害的页面。 当真正的受害者访问同一URL时,他们会被重定向到加密货币诈骗、钓鱼页面、恶意软件下载或欺诈性电商网站。受害者永远看不到“干净”的版本,而分析师也永远看不到诈骗内容。

Keitaro 的价格范围从 每月40至400欧元,将其定位为企业级欺诈防范基础设施。它可存储访客数据,最长可达 9.75年,为运营商提供了包含受害者指纹、地理位置数据和行为特征的庞大数据集。所有这些数据都存储在 AWS 基础设施,这意味着亚马逊在不知情的情况下,为数千起诈骗活动提供了后端支持。

空壳公司

Apliteni 有限责任公司 该公司以爱沙尼亚为运营基地,利用该国的“电子居民”计划和有利的企业隐私法律。 该公司通过专业的市场营销、文档资料和客户支持维持着一层合法的外衣——然而其产品的每次可追踪部署都与犯罪活动有关。他们每月收取40至400欧元,提供实质上是一个“诈骗即服务”平台,且数据保留时间长达近十年。

数据:1,565个展板,零个合法展板

PhishDestroy 的调查始于一个简单的假设:如果 Keitaro TDS 确实有正当用途,我们应该能发现大量此类用途。我们扫描了 50,000+ 个网站 我们结合了自动化工具和人工核查,专门搜寻Keitaro TDS的特征痕迹。我们的发现非常明确。

1,565 个活跃的 Keitaro 管理面板 被发现了。我们对每一个都进行了分析。结果是: 零个合法部署. 没有一个调查样本组是被用于合法的联盟营销、A/B测试或任何其他正当目的的。每一个调查样本组——100%——都与犯罪活动有关。

1,565
活动面板
100%
恶意率
50K+
已扫描的网站
9.75年
最大数据保留期限

虐待类别的细分

这1,565个面板分布在六个主要诈骗类别中。许多面板同时服务于多个类别,利用Keitaro的流量路由功能,根据地理位置、设备或时间将受害者引导至不同的诈骗类型。

滥用类别描述
加密货币诈骗 虚假投资平台、钱包清空器、“pig butchering”式落地页
网络钓鱼 针对银行、电子邮件服务商和社交媒体的凭证窃取
恶意软件传播加载器分发、勒索软件部署、驱动式下载
电子商务欺诈假店、假货、银行卡信息盗取
交友诈骗恋爱诈骗、性勒索着陆页、虚假个人资料
赌博诈骗 无牌照赌场、作弊的博彩平台、存款被盗

方法说明

每块面板在分类前都经过至少两种独立检测方法的验证。误报结果均经过人工复核并予以排除。1,565这一数字仅代表已确认的、处于活跃状态的Keitaro安装实例——实际部署数量(包括那些位于额外保护层之后的情况)肯定更高。

刑事案件当事人点名

TDS Keitaro 不仅被小打小闹的诈骗分子所利用,更是全球一些最危险的网络犯罪组织首选的隐身基础设施。以下是有据可查的客户名单:

EvilCorp

这家受到制裁的俄罗斯网络犯罪集团利用Keitaro突破国际制裁。通过将自身活动隐藏在Keitaro的流量分发背后,EvilCorp成功规避了本应将其取缔的安全管控措施。每次经由Keitaro路由的点击,都是由Apliteni OU的软件助长的制裁违规行为。

LockBit 勒索软件

LockBit勒索软件团伙利用Keitaro进行恶意软件分发,借助其隐蔽功能,确保只有真正的目标才会收到勒索软件有效载荷,而安全沙箱和研究人员看到的则是无害内容。Keitaro成为历史上破坏性最强的勒索软件行动之一的力量倍增器。

VexTrio

已知规模最大的Keitaro客户。VexTrio的运营方式是 60多家联盟成员 以及控制项 86,832+ 个域名,所有流量都通过Keitaro的分发引擎进行转接。这一单一操作占据了互联网恶意广告流量的绝大部分,而Keitaro正是使其隐匿不被察觉的支柱。

ClearFake

ClearFake 会向遭入侵的网站注入虚假的浏览器更新提示,当受害者点击“更新”时,便会植入恶意软件。Keitaro 的隐蔽技术确保只有真实的访问者才能看到恶意覆盖层——安全扫描工具看到的则是原始的、干净的网站。结果是:恶意软件的传播检测率几乎为零。

FakeBat

FakeBat 是一种通过恶意广告活动传播的恶意软件加载器。Keitaro 通过一个决策引擎来路由广告流量:安全工具会被重定向到合法软件的下载页面,而真实用户则会收到植入木马的安装程序。Keitaro 使得 FakeBat 的恶意广告活动对广告平台的安全团队而言几乎无法被察觉。

替身

一项与俄罗斯政府有关联的虚假信息宣传活动,利用“Keitaro”在西方社交媒体上传播宣传内容。“Keitaro”通过地理位置和设备指纹识别技术,确保内容审核员和事实核查人员看到的内容与目标受众所见的内容不同。这场信息战由爱沙尼亚的商业软件提供技术支持。

“在过去18个月里,我们调查过的每一起重大网络犯罪案件中,都发现了Keitaro的痕迹。这绝非巧合——这已成为犯罪分子的行业标准。”

— PhishDestroy 研究团队

7点检测方法

在此次调查过程中,PhishDestroy 开发了七种独立的方法来识别 Keitaro TDS 的部署情况。每种方法针对 Keitaro 留下的不同特征,它们共同构成了一个全面的检测框架,目前已作为开源工具发布。

1. /click_api/v3 端点

Keitaro 用于处理点击事件的核心 API 端点。该路径被硬编码到软件中,在每个安装实例中均存在。检测该端点是确认 Keitaro 部署情况最快捷的方式。若该路径返回 200 或 302 状态码,则几乎可以确定其为 Keitaro 系统。

2. _lp / _token / _subid URL 参数

Keitaro 在重定向链中会在 URL 后附加独特的跟踪参数。该 _lp 该参数用于标识着陆页, _token 支持会话认证,并且 _subid 用于追踪子联盟来源。这些参数是Keitaro特有的,在正规的流量管理系统中很少出现。

3. 敬太郎专属曲奇

Keitaro 会设置独特的 Cookie 来跟踪访客会话并维持隐藏状态。这些 Cookie 的命名规则与标准分析平台不同,因此可以通过浏览器检查或自动 Cookie 分析来识别它们。

4. 响应头模式

Keitaro 的服务器响应中包含独特的 HTTP 头模式,包括特定的缓存控制指令、自定义头以及与标准 Web 服务器不同的服务器标识字符串。即使操作员试图自定义其安装环境,这些头信息依然存在。

5. JavaScript 重定向链

Keitaro 通过多阶段 JavaScript 重定向来评估访问者的指纹特征,然后决定是显示诈骗页面还是正常页面。这些重定向链遵循可预测的模式——包括特定的变量名、时间序列和评估逻辑——可通过静态和动态 JavaScript 分析加以检测。

全球热力图:全球共检测到1,565块Keitaro TDS面板,未发现任何合法用途
全球热力图:全球共检测到1,565块Keitaro TDS面板,未发现任何合法用途
6. 域模式分析

Keitaro 运营商通常会遵循可预测的命名规范和注册模式来注册域名。批量域名分析显示,存在一批域名,其 WHOIS 数据、注册日期、域名服务器配置和托管服务商均相似——所有这些都表明这些域名属于协调部署的 Keitaro 系统。

7. 管理面板指纹识别

Keitaro 管理面板可通过已知的路径访问,并返回具有独特 HTML 结构、CSS 类名和 JavaScript 文件的页面。即使管理员更改了默认登录 URL,该面板的前端框架仍会留下可识别的特征,这些特征可通过路径枚举和内容指纹识别技术被检测到。

多层次防御

没有任何一种检测方法是万无一失的。技术娴熟的操作者可能会禁用或修改个别特征。正因如此,7点检测法才作为分层系统发挥作用——即使操作者消除了三四个特征,其余的方法仍会标记该部署。 在我们的测试中,每块Keitaro面板都能被这七种方法中的至少四种检测到。

全球基础设施地图

这1,565个Keitaro控制面板分布在全球范围内的托管基础设施中,这些基础设施倾向于选择低价的VPS服务商以及滥用投诉响应时间较长的司法管辖区。以下是这些控制面板的分布情况:

地区主机服务提供商注释
美国DigitalOcean、Vultr 面板数量最多。位于美国的托管服务可为北美地区的受害者提供快速的响应时间。
荷兰各类VPS 常用于面向欧洲的营销活动。主机政策宽松。
德国Hetzner,多种 针对欧盟的网络钓鱼和电子商务诈骗活动的主要Hub。
俄罗斯各种防弹 许多运营商的据点。对滥用行为完全不采取任何措施的托管服务提供商。
英国各种云 用于针对英国金融机构和政府服务。
香港Femo 集群 一个与针对亚洲用户的加密货币诈骗相关的独特面板群组。该“Femo群组”作为一个协调一致的组织运作。

美国的霸权

美国是Keitaro面板部署最集中的地区,主要集中在DigitalOcean和Vultr上。这些主流云服务提供商会处理滥用报告——但鉴于部署数量庞大,且运营商创建新实例的速度极快,滥用处理团队始终处于被动应对的状态。

Femo 集群

一个独特的Keitaro面板集群,利用香港的基础设施运作,针对亚洲市场实施加密货币诈骗和赌博诈骗。“Femo集群”展现出的协调部署模式表明,可能由单一运营商或有组织团伙同时管理着数十个面板。

AWS 后端

无论前端面板托管在何处,Keitaro 的核心数据存储都运行在 亚马逊网络服务(AWS). 这意味着数百万潜在诈骗受害者的访问者指纹、重定向日志和定向数据都存储在亚马逊的基础设施上。由于数据保留期限长达9.75年,AWS正托管着现存规模最大的诈骗受害者数据库之一。

开源工具发布

在此次调查的同时,PhishDestroy 发布了一套完整的开源检测工具包。所有工具均免费提供,无需 API 密钥,且可立即部署。该工具包包含完整的 1,565 个测试面板数据集。

完整证据库

所有工具、数据和证据均发布于 phishdestroy.github.io/ScamIntelLogs/keitaro/. 该代码库为公开的,并将随着新面板的发现而不断更新。欢迎社区贡献以及提供其他检测方法。

发现、报告、取缔

我们如何检测到Keitaro TDS面板——指纹识别方法
我们如何检测到Keitaro TDS面板——指纹识别方法
Keitaro TDS 流量走向——恶意面板如何将受害者重定向
Keitaro TDS 流量走向——恶意面板如何将受害者重定向

Keitaro TDS 是维系诈骗活动生存的隐形基础设施。您报告的每个面板、进行的每次检测以及共享的每组数据,都有助于瓦解这一生态系统。善用这些工具,共享数据,并报告您的发现。

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

相关研究

虚假赌场泛滥:5个骗局被揭穿
对4家赌场PaaS运营商的比较分析,涉及30多个国家的383名经核实的受害者。
加密货币盗币工具包曝光
TRXDrop 和 NiceCrypto 如何利用钱包连接窃取加密资产。
该项目:价值1000万美元的诈骗帝国
深入探秘这个大规模开展工业化欺诈活动的诈骗帝国。
诈骗团伙对比
对有组织诈骗团伙的结构、工具及运作方式的并列比较。
PhishDestroy 工具与服务
面向安全研究人员的全套开源检测、分析和报告工具。
一次关停的剖析
关于我们如何摧毁网络钓鱼基础设施的分步指南。
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →