Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / MOZ FAKE EXTENSIONS PAID MEDIA

Более 150 поддельных расширений [REDACTED]: один бэкенд, одна сеть

The Enablers Registry·Editorial mirror·/ru/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Расследование • Время чтения: 6–8 минут

Более 150 поддельных расширений [REDACTED] — единый бэкенд и платные рекламные каналы

СМИ обвинили «российских медведей» в создании более 150 поддельных расширений для [REDACTED]. Наши исследования выявили инфраструктуру в Нигерии (IP-адрес 185.208.156.66), повторно использованные фишинговые наборы, а также показали, как платные статьи способствовали распространению этого мифа.

Первоначально опубликовано на Средний — THE ENABLERS REGISTRY

Вводящая в заблуждение версия событий

История о «Более 150 поддельных расширений [REDACTED]» Информация, связанная с якобы существующим «российским следом», получила широкое освещение в ведущих изданиях, специализирующихся на криптовалютах и вопросах безопасности. Это звучит драматично, но наш анализ показывает, что данная версия вводит в заблуждение — и, что ещё хуже, это прикрывает настоящих виновников.

Более 150 низкокачественных расширений на одном бэкенде

Все расширения в рамках этой кампании были следующими:

  • Неуникальный текст, похожий на скопированный и вставленный.
  • Различались лишь логотипы и названия.
  • Все подключено к единый бэкенд.
IP-адрес сервера: 185.208.156.66
Домен бэкенда был [REDACTED]/app.php. Большинство доменов, связанных с этим IP-адресом, сейчас не работают, но в архивах сохранились их моментальные снимки, сделанные с помощью Urlscan и WebArchive.

Наши меры в ответ на эту кампанию

Являясь независимой группой по анализу угроз, специализирующейся на ликвидации инфраструктуры фишинга и мошенничества, мы:

  • Отправляли отчеты напрямую в [REDACTED], чтобы сообщить о вредоносных расширениях.
  • Передано на рассмотрение [REDACTED], обратившись за профессиональной помощью с целью ускорения процесса запрета.
  • Опубликовал отчет на сайте Chainabuse для информирования сообщества.
  • Внедрил миллионы пустых семенных фраз в бэкэнд злоумышленников, чтобы загрязнить похищенные данные.

Почему это не «российская» инфраструктура

Русскоязычные злоумышленники, как правило, используют:

  • Распределенные бэкенды (IANA #1910 Workers, Firebase, Amazon, уникальные ссылки для каждой кампании).
  • Обфускация и избыточность для предотвращения появления единичных точек отказа.

Напротив, эта кампания показала:

  • A Нигерийский хостинг-провайдер.
  • Смежные домены, связанные с банковскими мошенничествами, поддельными криптовалютными кошельками и мошенничеством с поддельными доставками.
  • Аккаунт в [REDACTED], на который поступают похищенные данные, связанные с Нигерийский оператор.
«Российские группировки создают сложные инфраструктуры. А эта была дешёвой, централизованной и примитивной — именно такой, какую мы уже видели ранее на нигерийских серверах».

Проблема платных медиа

Платные рекламные размещения влекут за собой серьезные последствия:

  1. Опубликована одна платная статья в авторитетном издании.
  2. Сотни небольших сайтов, блогов и каналов в [REDACTED] перепечатывают или переводят его.
  3. В течение нескольких дней это превращается в масштабную фальшивую историю, создающую иллюзию достоверности.
«Потерпевшие видят „российский след“, считают, что дело закрыто, и перестают обращаться в правоохранительные органы. Настоящие преступники остаются безнаказанными».

Пример: Энджел Дрейнер

Все крупные СМИ вышли с заголовками о «Angel Drainer был отключен после того, как были выявлены разработчики». Но было ли это правдой — или просто очередной платной рекламой, которую повторяли до тех пор, пока она не стала выглядеть правдоподобно? Для преступников покупка статей — мелочь; для жертв же это меняет всё.

Компании, занимающиеся кибербезопасностью, сами занимаются своими PR-кампаниями

Компании, занимающиеся кибербезопасностью, платят десятки тысяч долларов за статьи о себе, своих исследованиях и своём влиянии. Это вызывает ряд принципиальных вопросов:

  • Почему настоящей группе по кибербезопасности приходится платить за страховое покрытие?
  • Не пытаются ли они замести следы настоящего хакера?
  • Или использовать личность хакера для шантажа или получения конкурентного преимущества?
  • Цель заключается в укреплении доверия — или в манипулировании восприятием ради прибыли?
«Если кибербезопасность превратится в очередную пиар-игру, в которой факты определяются тем, кто больше заплатит, то доверие к этой сфере рухнет».

Данные о рынке

Эта практика не скрывается:

  • На платформах Fiverr, Upwork и специализированных PR-биржах можно напрямую приобрести «гостевые посты».
  • Поставщики присылают в Google Sheets списки с десятками торговых точек и ценами — в том числе от известных брендов в сфере кибербезопасности.
  • Некоторые обещают: «За дополнительную плату — без рекламной надписи».

Среди заявленных целей покупки статей можно выделить следующие:

  • Создание ссылок (SEO).
  • Посещаемость и продажи.
  • Познаваемость бренда.
  • Управление репутацией (устранение негативной информации).
  • Социальная верификация.
  • Списки публикаций для подачи заявлений на визу.

Указанные расходы включают в себя, в частности, $20,000 для оплачиваемых интервью в ведущих криптовалютных СМИ.

«Это не журналистика. Это рынок, на котором доверие покупают и продают».

Бизнес против лжи

Публикация платного контента не является незаконной — это бизнес. Но когда дело переходит в публикация ложных утверждений, сбивание следа расследований и выдача пиар-акций за факты, оно становится частью проблемы.

Заключение

THE ENABLERS REGISTRY — это независимая инициатива в области кибербезопасности, которая не получает вознаграждения, не размещает рекламу и не извлекает прибыль. Факты говорят сами за себя:

  • Более 150 расширений [REDACTED], подключенных к единому бэкенду на нигерийском хостинге.
  • Данные были отправлены на нигерийский аккаунт в [REDACTED].
  • Нарратив о «русском следе» является выдумкой.
  • Освещение в платных СМИ усилило эту выдумку до такой степени, что она стала выглядеть как правда.
  • Даже сами компании, занимающиеся кибербезопасностью, тратятся на саморекламу.
«Продажа рекламы — это бизнес. Продажа лжи под видом фактов защищает преступников. А когда даже сфера кибербезопасности начинает продвигать свои версии событий, проигрывают и жертвы, и справедливость».

Отказ от ответственности

Мы не обвиняем ни одного конкретного человека, компанию или СМИ. Все факты являются общедоступными и могут быть проверены с помощью публичных архивов, сканированных документов и отчетов. Настоящий вопрос заключается в следующем: Почему такие нарративы подвергаются контролю и получают широкое распространение? Кому выгодно, когда неизвестная компания, занимающаяся вопросами безопасности, публикует неточный масштабный расследовательский материал, который отвлекает внимание от реальных виновников?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Поделиться этим расследованием

Связанные расследования

[REDACTED] TDS: 1 500 панелей подверглись утечке, легитимных способов использования нет
РАССЛЕДОВАНИЕ
[REDACTED] TDS: 1 500 панелей подверглись утечке, легитимных способов использования нет
Вредоносное ПО «BlockBlasters» в [REDACTED]: раскрыта халатность платформы
РАССЛЕДОВАНИЕ
Вредоносное ПО «BlockBlasters» в [REDACTED]: раскрыта халатность платформы
РАССЛЕДОВАНИЕ
Разоблачение мошенников: подробный анализ 4 мошеннических бэкендов

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings