С виду обычная игра, а внутри – подпольное казино. Рассказываем, как система Keitaro ловко подменяет сайты

Инструмент для отслеживания рекламы, который задумывался как обычный маркетинговый помощник, превратился в удобное оружие для киберпреступников. Речь о Keitaro Tracker – системе, через которую злоумышленники массово управляют трафиком, скрывают вредоносные сайты и обманывают пользователей.

Специалисты Infoblox и Confiant завершили серию разборов злоупотреблений Keitaro и посмотрели на проблему шире – не через отдельные атаки, а через всю экосистему. Картина получилась показательная: сервис используют в спаме, вредоносной рекламе и мошеннических схемах, причём в довольно промышленных масштабах.

За четыре месяца – с октября 2025 года по январь 2026-го – зафиксировали около 226 тысяч DNS-запросов, связанных с инфраструктурой Keitaro, и примерно 13,5 тысячи доменов. За тот же период злоумышленники зарегистрировали более 8 тысяч новых доменов под такие операции. Активность часто совпадала с акциями у регистраторов: например, в октябре и ноябре участники схем массово скупали дешёвые домены во время распродаж.

Keitaro используют как систему распределения трафика. Платформа позволяет решать, куда отправить пользователя, исходя из множества параметров – страны, устройства, браузера и даже языка. В одном из случаев оператор направлял «ненужных» посетителей на безобидный сайт мобильной игры, а целевую аудиторию – на онлайн-казино. Чаще всего в выборку попадали пользователи Android в Германии и владельцы компьютеров с Windows в США и Швейцарии.

Почтовые рассылки оказались ещё масштабнее. Анализ показал более 120 отдельных кампаний, где Keitaro служил для доставки ссылок. Около 96% таких писем вели на схемы по краже криптовалюты. Пользователям предлагали «раздачи» токенов AURA и SOL, поддельные сервисы кошельков Phantom или площадки Jupiter. Кроме того, встречались предложения работы, фальшивые уведомления о подписках Spotify и Netflix, а также письма о продлении Amazon Prime на японском языке.

В рекламных сетях ситуация не лучше. Через анализ сотен миллионов показов выявили почти 2 тысячи доменов с Keitaro, задействованных в вредоносной рекламе. Такие кампании регулярно появляются и исчезают, быстро меняя инфраструктуру.

Популярность Keitaro объясняется его возможностями. Сервис умеет гибко маршрутизировать трафик, подменять содержимое страниц и скрывать вредоносную нагрузку. Злоумышленники используют встроенные фильтры и сценарии, чтобы показывать проверяющим «чистую» версию сайта, а реальным жертвам – вредоносный контент. Для усиления маскировки подключают сторонние инструменты вроде HideClick и Adspect, которые отсекают ботов, прокси и системы проверки.

Есть и менее очевидные приёмы. Например, с помощью встроенного JavaScript можно менять содержимое страницы без явного перенаправления. Адрес в браузере остаётся прежним, но пользователь уже видит поддельный интерфейс или страницу загрузки вредоносного файла.

Отдельный интерес вызвали файлы cookie, которые Keitaro устанавливает в браузере. Долгое время такие метки считали уникальными для каждой кампании, но анализ показал совпадения между разными группами. В ряде случаев одинаковые значения использовали как операторы вредоносных программ, так и участники рекламных схем. Иногда причина – случайность, но часто речь идёт о взломанных или нелегальных копиях Keitaro.

Такие «взломанные» версии активно распространяются на форумах вроде UCRACK и NullSEO. Пользователи скачивают уже активированные сборки и обходят проверку лицензии. Чаще всего речь идёт о версиях 7–9, но обсуждения показывают высокий спрос и на более новые релизы.

В ходе взаимодействия с разработчиками Keitaro выяснилось, что часть известных группировок, включая TA2726 и TA576, вероятно, используют именно такие нелегальные копии. При этом иногда рядом с вредоносной инфраструктурой обнаруживались легальные лицензии, связанные с обычными партнёрскими программами, что ещё больше запутывает картину.

Разработчики сервиса за последние месяцы изменили подход к жалобам. Вместо общения через мессенджеры появился отдельный почтовый канал, а правила реагирования обновили. За время исследования специалисты передали более сотни доменов, и в результате закрыли свыше десятка учётных записей. Большинство злоумышленников после блокировки не возвращались.

При этом сама модель борьбы с такими схемами остаётся проблемной. Пока одни собирают доказательства и отправляют жалобы, другие регистрируют новые домены десятками. В результате противостояние всё больше напоминает гонку на истощение ресурсов.