23/07/24
Эта система, названная R0bl0ch0n TDS из-за характерных последовательностей "0/0/0" в URL-перенаправлениях, затронула около 110 миллионов интернет-пользователей по всему миру.
Партнерский маркетинг, который обычно является законным способом продвижения товаров и услуг, в этом случае превратился в инструмент распространения мошеннической рекламы. Исследователи обнаружили сотни небольших партнерских сетей, которые специализируются на продвижении подозрительных предложений, ведущих к хорошо известным схемам обмана, пишет Securitylab.
R0bl0ch0n TDS представляет собой сложную инфраструктуру из множества доменов и выделенных серверов, надежно защищенных сервисом Cloudflare. Несмотря на то, что злоумышленники включили в свои кампании некоторые легитимные функции, такие как формы отписки и обратной связи, они приняли серьезные меры для сокрытия реальных организаций, стоящих за этими операциями.
Технический анализ R0bl0ch0n TDS показал, что URL-адреса, встроенные в электронные письма, следуют одинаковым шаблонам (<домен>/bb/[0-9]{18}). Эти ссылки содержат несколько автоматических перенаправлений, которые ведут пользователей на поддельные магазины или страницы с опросами. Важно отметить, что эти URL-адреса не могут быть корректно проанализированы автоматическими системами, так как для обхода поддельной капчи требуется участие пользователя.
Эксперты выяснили, что домены с поддельными опросами активно обмениваются данными пользователей со сторонними веб-сайтами. Например, домен facileparking.sbs передает информацию на event.trk-adulvion.com. Эта сеть доменов начала функционировать летом 2021 года и включает более 300 выделенных IP-адресов на серверах Amazon Web Services (AWS).
По данным DomainTools, общее количество DNS-запросов типа A для поддоменов event. с 2021 года составляет около 110 миллионов. Учитывая, что для каждого пользователя регистрируется только один DNS-запрос благодаря механизму фингерпринтинга, эта цифра достоверно отражает общее число людей, ставших мишенью мошеннических схем.
Исследователи выявили две основные категории мошеннических предложений, распространяемых через R0bl0ch0n TDS:
Розыгрыши призов:
- Привлекательные сообщения о выигрыше в лотерею.
- После заполнения короткого онлайн-опроса пользователей просят оплатить небольшую сумму за доставку
- На самом деле таким образом оформляется подписка на регулярные платежи (от 20 до 45 евро каждые две недели)
- Федеральная торговая комиссия США сообщила о жалобах на сумму более $300 миллионов убытков, со средним ущербом $900 на человека
- Эксперты World Watch полагают, что реальные цифры значительно выше, учитывая огромное количество ежедневно рассылаемых кампаний
Предложения по улучшению жилья:
- Реклама завышенных по цене услуг по установке фильтров для водостоков, солнечных панелей, тепловых насосов или душевых кабин для пожилых людей
- Такие схемы часто распространяются через электронную почту и/или продвигаются с помощью поисковой оптимизации (SEO)
- Партнеры получают комиссию каждый раз, когда пользователь заполняет контактную форму
- Затем "продавец" перезванивает потенциальному клиенту
- Часто продавцы намеренно завышают размер государственных субсидий, на которые может претендовать клиент
Для первоначального распространения URL-адресов, перенаправляемых через R0bl0ch0n TDS, используются различные методы:
- Использование случайных поддоменов AWS с данными в части фрагмента URL, которые передаются в R0bl0ch0n TDS и, вероятно, связаны с параметрами партнерской программы
- Использование случайных поддоменов Azure с URL-адресами, соответствующими шаблону <случайный_поддомен>.blob.core.windows.net/<случайный_поддомен>/1.html. Данные в фрагменте URL также передаются в R0bl0ch0n TDS
- Использование сервисов сокращения URL
Эксперты отмечают, что использование легитимных сервисов, таких как инфраструктура AWS, Azure или сокращатели URL, позволяет партнерам легко модифицировать и развертывать новую инфраструктуру. Это помогает им обходить системы обнаружения и контрмеры, реализованные в Google Safe Browsing или антиспам-фильтрах.
