Конструктор сайтов Lovable захватили мошенники. Тысячи фальшивых страниц заполонили интернет

Lovable Proofpoint Guardio Labs Tycoon Aave UPS zgRAT
Конструктор сайтов Lovable захватили мошенники. Тысячи фальшивых страниц заполонили интернет
Lovable Proofpoint Guardio Labs Tycoon Aave UPS zgRAT

Простота создания ловушек привлекла целую армию киберпреступников.

image

Платформа для автоматизированного создания сайтов Lovable оказалась в центре масштабных злоупотреблений. Исследователи из Proofpoint зафиксировали резкий рост случаев, когда её возможности использовались не для легитимных проектов, а для организации фишинговых атак, распространения вредоносного ПО и кражи данных. Удобный конструктор, изначально задуманный как сервис для быстрого запуска интернет-страниц, стал инструментом в руках киберпреступников, поскольку снижает технический порог входа в криминальную деятельность.

С февраля специалисты компании обнаружили десятки тысяч ссылок на ресурсы, размещённые через Lovable, которые рассылались в электронных письмах и были признаны вредоносными. Они подробно описали четыре кампании, где сервис играл ключевую роль. В первом случае злоумышленники использовали инфраструктуру Tycoon, специализирующуюся на «фишинг-как-сервис».

Письма с вложенными URL открывали страницу с защитной CAPTCHA, после чего жертву перенаправляли на поддельный портал Microsoft с логотипами Azure AD или Okta. Сайты собирали логины, коды двухфакторной аутентификации и сессионные куки с помощью методов «человек посередине». За время атаки было разослано сотни тысяч сообщений в адрес пяти тысяч организаций.

В другом эпизоде преступники маскировались под UPS и разослали около 3500 писем, ведущих на фальшивые страницы, где пользователей просили оставить личные сведения, номера банковских карт и одноразовые SMS-коды. Введённые данные автоматически отправлялись в канал Telegram, контролируемый оператором атаки.

В третьей схеме мишенью стал рынок криптовалют. Атакующие выдавали себя за DeFi-платформу Aave и через сервис SendGrid разослали около 10 тысяч сообщений. Переход по ссылкам вёл к страницам, созданным на Lovable, где пользователей убеждали подключить криптокошельки, что открывало дорогу для последующего хищения активов.

Четвёртая кампания была связана с доставкой трояна удалённого доступа zgRAT. Под видом счетов-фактур распространялись архивы RAR, хранящиеся на Dropbox, в которых находился легитимный подписанный исполняемый файл вместе с заражённой библиотекой DLL. После запуска загружался загрузчик DOILoader, а затем и сам zgRAT.

На фоне масштабных злоупотреблений разработчики Lovable в июле внедрили систему отслеживания подозрительных сайтов в реальном времени и начали ежедневное сканирование опубликованных страниц с целью блокировки мошеннических проектов. Осенью планируется добавить дополнительные меры, которые будут предотвращать создание аккаунтов для криминальных целей.

Однако проверка Guardio Labs показала , что возможности сервиса по-прежнему можно использовать в обход защитных фильтров. Исследователи за короткое время создали поддельный сайт крупного ритейлера и не встретили сопротивления со стороны платформы. Представители Lovable пока не прокомментировали эффективность уже действующих мер.