Дипфейки, фальшивые бренды и обман пенсионеров: легальный трекер Keitaro стал главным инструментом мошенников

Keitaro давно используют как обычный рекламный трекер, но за последние годы платформа прочно обосновалась и в криминальной инфраструктуре. Изначально инструмент создавали для маркетологов: система помогает направлять трафик, считать конверсии и гибко распределять посетителей по устройствам, географии, IP-адресам и источникам перехода. Проблема в том, что такой же набор функций идеально подходит и для мошеннических схем. Если нужно скрыть реальную цепочку перенаправлений, показать проверяющему безобидную страницу, а жертву отправить на совсем другой сайт, трекер решает задачу почти без доработок.

Исследователи из Confiant и Infoblox решили посмотреть на злоупотребление Keitaro не по отдельным инцидентам, а как на цельную экосистему. Для такого анализа у компаний оказались разные, но хорошо дополняющие друг друга источники. Confiant видит рекламную цепочку с клиентской стороны: креативы, редиректы, клоакинг и момент, когда вредоносная реклама действительно доходит до экрана пользователя. Infoblox, в свою очередь, наблюдает за DNS-уровнем: регистрацией доменов, устройством инфраструктуры, жизненным циклом кампаний и тем, как угрозы проходят через спам, взломанные сайты и массовые веб-сканирования. Вместе такой обзор позволяет проследить не только сам обман, но и то, как он собирается, маскируется и масштабируется.

Аналитики изучили данные за 4 месяца, начиная с 1 октября 2025 года, и получили картину устойчивой преступной системы, которая работает в больших объемах и при этом почти не прячется. За время наблюдения через такую инфраструктуру прошли 15 500 вредоносных доменов. Около 9 000 адресов, по оценке исследователей, зарегистрировали специально под такие операции. Трафик на эти сайты шел одновременно из программматик-рекламы, спама, соцсетей и взломанных веб-ресурсов. Во всех случаях цепочка сходилась на инстансах Keitaro, которые умели показывать «чистую» страницу всем, кто походил на модератора, исследователя или автоматическую систему проверки.

Главным типом злоупотреблений оказались инвестиционные мошеннические схемы. В разных кампаниях повторялась почти одна и та же конструкция: автоматически сгенерированные домены, однотипные веб-формы для сбора контактных данных и поддельные новости или фальшивые endorsements, которые должны были внушить доверие. Внешне такие страницы часто копируют привычную структуру медиа-сайтов или рекламных публикаций, а внутри сводятся к старой задаче: заставить жертву оставить номер телефона, почту или данные для дальнейшего контакта.

Одной из самых заметных схем исследователи называют FaiKast. Операция продвигала мошеннические предложения через дипфейк-видео, замаскированные под новостные ролики. В кадре появлялись сгенерированные ведущие, а пользователь после клика попадал на почти точные копии сайтов реальных СМИ. В числе примеров упоминаются поддельные эфиры CBC, выдуманные высказывания настоящих публичных фигур и срочные призывы зарегистрироваться на фиктивных криптовалютных платформах. География кампании при этом была не символической: злоумышленники адаптировали контент под Францию, Великобританию, Канаду, Японию и Казахстан. То есть речь шла не о грубой универсальной заготовке, а о локализованной схеме, заточенной под конкретные рынки.

Другая операция, получившая название WickedWally, работала заметно точнее по аудитории и била по пожилым жителям США. В приманках фигурировали списание долгов по кредитным картам, продуктовые выплаты, льготы Medicare и компенсации расходов на похороны. И здесь снова использовались дипфейк-видео, оформленные как новостные сюжеты и привязанные к актуальной повестке. Смысл такой подачи прост: мошенники используют реальные новости как повод для срочности и подмешивают в них фиктивную программу помощи. После клика пользователь попадал не просто на лендинг, а на фальшивого чат-бота, который якобы проверял право на льготы. Дальше жертву переводили в колл-центр, где уже выманивали персональные и финансовые данные.

Третья схема, FishSteaks, строилась иначе и пряталась за маскоой развлекательных услуг. Операторы выдавали себя за известные американские потребительские бренды и запускали игровые розыгрыши с виртуальными коробками призов, падающим конфетти и многоэтапными посадочными страницами. Такая структура нужна не ради красоты, а ради удержания человека на сайте и постепенного подталкивания к нужному действию. Исследователи отдельно отмечают, что сначала в материалах могли стоять сгенерированные ИИ-заглушки, а уже перед запуском кампании их меняли на логотипы конкретных брендов. В некоторых вариантах, связанных с фальшивой технической поддержкой, потери отдельных жертв в документированных случаях превышали 40 тысяч долларов.

Ключевая роль Keitaro во всех этих историях связана не с созданием мошеннического контента, а с маршрутизацией и фильтрацией. Трекер позволяет на лету решать, какой именно пользователь увидит поддельную страницу, а какой — безобидный сайт-заглушку. Такая схема особенно удобна для клоакинга. Проверяющий, который приходит с адреса дата-центра или из известного диапазона модерационной платформы, получает чистую версию. Обычный пользователь из нужной страны, с нужного устройства и из нужного рекламного канала, наоборот, попадает в мошенническую воронку. Именно поэтому подобные инструменты так ценят не только арбитражники, но и киберпреступники.

Отдельный вопрос, который исследователи попытались прояснить, касался самой компании Apliteni, выпускающей Keitaro. Платформа используется преступными группами уже больше 10 лет, поэтому логично было проверить, закрывает ли разработчик глаза на очевидные злоупотребления и не превратился ли продукт в своего рода bulletproof tracker — сервис, который де-факто обслуживает криминальный рынок и не реагирует на жалобы. По словам авторов, с августа 2025 года они передали Apliteni сведения более чем о 100 доменах.

Компания реагировала на каждое обращение, а больше 10 учетных записей, связанных с атакующими, были отключены. В ходе переписки исследователи также подтвердили, что крупные операторы вредоносных кампаний, включая TA2726, использовали нелегальные копии трекера. Такой вывод важен по 2 причинам. Во-первых, он показывает, что часть злоумышленников работает не через официальное обслуживание. Во-вторых, реакция вендора все же создает рабочий канал координации между разработчиком и исследователями.

При этом авторы подчеркивают: даже быстрая реакция не решает проблему целиком. Мошенники меняют домены, рекламные креативы и цепочки перенаправлений быстрее, чем любая отдельная процедура блокировки успевает сработать. Сегодня закрыли одну площадку, завтра на ее месте появилась следующая. Но сама возможность такого взаимодействия уже важна, потому что без нее индустрия вообще остается один на один с инфраструктурой, которую злоумышленники используют как конструктор.

История с Keitaro хорошо показывает более неприятную вещь. На практике киберпреступникам не всегда нужны какие-то редкие эксплойты или самописные платформы. Достаточно взять легальный инструмент, который быстро разворачивается на обычном хостинге, умеет точно маршрутизировать трафик и поддерживает клоакинг на уровне логики. После этого рекламная инфраструктура, DNS, поддельные новостные страницы, колл-центры и дипфейк-ролики складываются в одну рабочую преступную машину.