Кликнул на акцию, продал квартиру — TDS делает фейк неотличимым от реальности

В двух новых киберкампаниях, получивших названия Reckless Rabbit и Ruthless Rabbit, специалисты Infoblox раскрыли механизмы, с помощью которых мошенники заманивают пользователей на поддельные инвестиционные платформы, маскируясь под известные личности и используя сложную систему фильтрации трафика.

Мошеннические схемы стартуют с рекламы в соцсетях, в частности в Facebook*, где пользователям показываются фальшивые статьи, якобы с участием знаменитостей, рекомендующих вложиться в некий инвестиционный проект. Эти статьи ведут на сайты-ловушки, замаскированные под криптовалютные биржи, где посетителям предлагают заполнить веб-форму с персональными данными — именем, телефоном, email и даже автоматически сгенерированным паролем. Все эти данные используются для следующего этапа — верификации.

После заполнения формы проводится серия проверок, включая обращение к сторонним сервисам ipinfo[.]io, ipgeolocation[.]io и ipapi[.]co, чтобы определить IP-адрес и исключить нежелательные регионы. Проверяются также подлинность номера телефона и email. Только если данные проходят проверку, пользователь перенаправляется через систему распределения трафика (TDS) на финальный этап мошенничества — страницу с предложением инвестировать или ждать звонка «представителя».

Рекламные объявления, созданные Reckless Rabbit, смешиваются с обычными товарами с маркетплейсов — например, Amazon — чтобы обойти фильтры и автоматическое модераторское обнаружение. При этом отображаемые домены (например, «amazon[.]pl») отличаются от реальных, на которые ведёт переход (например, «tyxarai[.]org»). Такая подмена и дезориентация — ещё один способ скрыть истинную цель перехода.

Для устойчивости инфраструктуры мошенники применяют так называемые RDGA — алгоритмы генерации случайных доменов. В отличие от обычных DGA, RDGA создают домены, которые сразу регистрируются через приватный алгоритм. Reckless Rabbit использует этот метод с апреля 2024 года и ориентируется в основном на пользователей из Румынии и Польши, при этом исключая трафик из таких стран, как Афганистан, Сомали, Либерия и Мадагаскар.

Группа Ruthless Rabbit, по данным Infoblox, работает дольше — с ноября 2022 года, и также нацелена на пользователей из Восточной Европы. Однако, в отличие от Reckless Rabbit, она использует собственную систему для валидации — cloaking-сервис mcraftdb[.]tech, что делает структуру ещё более замкнутой и устойчивой к внешнему наблюдению.

Суть использования TDS в обеих кампаниях — сокрытие вредоносного контента от систем безопасности и ботов. Это делает схему менее заметной и одновременно повышает её эффективность, так как только «подходящие» жертвы попадают на конечные мошеннические страницы. Инфраструктура и методы Reckless Rabbit и Ruthless Rabbit демонстрируют, насколько прибыльным остаётся сегмент фальшивых инвестиций. Специалисты Infoblox подчёркивают, что угрозы будут лишь нарастать — как по числу атак, так и по их технологической изощрённости.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.