Более 150 поддельных расширений [REDACTED] — единый бэкенд и платные рекламные каналы
СМИ обвинили «российских медведей» в создании более 150 поддельных расширений для [REDACTED]. Наши исследования выявили инфраструктуру в Нигерии (IP-адрес 185.208.156.66), повторно использованные фишинговые наборы, а также показали, как платные статьи способствовали распространению этого мифа.
Вводящая в заблуждение версия событий
История о «Более 150 поддельных расширений [REDACTED]» Информация, связанная с якобы существующим «российским следом», получила широкое освещение в ведущих изданиях, специализирующихся на криптовалютах и вопросах безопасности. Это звучит драматично, но наш анализ показывает, что данная версия вводит в заблуждение — и, что ещё хуже, это прикрывает настоящих виновников.
Более 150 низкокачественных расширений на одном бэкенде
Все расширения в рамках этой кампании были следующими:
- Неуникальный текст, похожий на скопированный и вставленный.
- Различались лишь логотипы и названия.
- Все подключено к единый бэкенд.
185.208.156.66Домен бэкенда был
[REDACTED]/app.php. Большинство доменов, связанных с этим IP-адресом, сейчас не работают, но в архивах сохранились их моментальные снимки, сделанные с помощью Urlscan и WebArchive. Наши меры в ответ на эту кампанию
Являясь независимой группой по анализу угроз, специализирующейся на ликвидации инфраструктуры фишинга и мошенничества, мы:
- Отправляли отчеты напрямую в [REDACTED], чтобы сообщить о вредоносных расширениях.
- Передано на рассмотрение [REDACTED], обратившись за профессиональной помощью с целью ускорения процесса запрета.
- Опубликовал отчет на сайте Chainabuse для информирования сообщества.
- Внедрил миллионы пустых семенных фраз в бэкэнд злоумышленников, чтобы загрязнить похищенные данные.
Почему это не «российская» инфраструктура
Русскоязычные злоумышленники, как правило, используют:
- Распределенные бэкенды (IANA #1910 Workers, Firebase, Amazon, уникальные ссылки для каждой кампании).
- Обфускация и избыточность для предотвращения появления единичных точек отказа.
Напротив, эта кампания показала:
- A Нигерийский хостинг-провайдер.
- Смежные домены, связанные с банковскими мошенничествами, поддельными криптовалютными кошельками и мошенничеством с поддельными доставками.
- Аккаунт в [REDACTED], на который поступают похищенные данные, связанные с Нигерийский оператор.
Проблема платных медиа
Платные рекламные размещения влекут за собой серьезные последствия:
- Опубликована одна платная статья в авторитетном издании.
- Сотни небольших сайтов, блогов и каналов в [REDACTED] перепечатывают или переводят его.
- В течение нескольких дней это превращается в масштабную фальшивую историю, создающую иллюзию достоверности.
Пример: Энджел Дрейнер
Все крупные СМИ вышли с заголовками о «Angel Drainer был отключен после того, как были выявлены разработчики». Но было ли это правдой — или просто очередной платной рекламой, которую повторяли до тех пор, пока она не стала выглядеть правдоподобно? Для преступников покупка статей — мелочь; для жертв же это меняет всё.
Компании, занимающиеся кибербезопасностью, сами занимаются своими PR-кампаниями
Компании, занимающиеся кибербезопасностью, платят десятки тысяч долларов за статьи о себе, своих исследованиях и своём влиянии. Это вызывает ряд принципиальных вопросов:
- Почему настоящей группе по кибербезопасности приходится платить за страховое покрытие?
- Не пытаются ли они замести следы настоящего хакера?
- Или использовать личность хакера для шантажа или получения конкурентного преимущества?
- Цель заключается в укреплении доверия — или в манипулировании восприятием ради прибыли?
Данные о рынке
Эта практика не скрывается:
- На платформах Fiverr, Upwork и специализированных PR-биржах можно напрямую приобрести «гостевые посты».
- Поставщики присылают в Google Sheets списки с десятками торговых точек и ценами — в том числе от известных брендов в сфере кибербезопасности.
- Некоторые обещают: «За дополнительную плату — без рекламной надписи».
Среди заявленных целей покупки статей можно выделить следующие:
- Создание ссылок (SEO).
- Посещаемость и продажи.
- Познаваемость бренда.
- Управление репутацией (устранение негативной информации).
- Социальная верификация.
- Списки публикаций для подачи заявлений на визу.
Указанные расходы включают в себя, в частности, $20,000 для оплачиваемых интервью в ведущих криптовалютных СМИ.
Бизнес против лжи
Публикация платного контента не является незаконной — это бизнес. Но когда дело переходит в публикация ложных утверждений, сбивание следа расследований и выдача пиар-акций за факты, оно становится частью проблемы.
Заключение
THE ENABLERS REGISTRY — это независимая инициатива в области кибербезопасности, которая не получает вознаграждения, не размещает рекламу и не извлекает прибыль. Факты говорят сами за себя:
- Более 150 расширений [REDACTED], подключенных к единому бэкенду на нигерийском хостинге.
- Данные были отправлены на нигерийский аккаунт в [REDACTED].
- Нарратив о «русском следе» является выдумкой.
- Освещение в платных СМИ усилило эту выдумку до такой степени, что она стала выглядеть как правда.
- Даже сами компании, занимающиеся кибербезопасностью, тратятся на саморекламу.
Отказ от ответственности
Мы не обвиняем ни одного конкретного человека, компанию или СМИ. Все факты являются общедоступными и могут быть проверены с помощью публичных архивов, сканированных документов и отчетов. Настоящий вопрос заключается в следующем: Почему такие нарративы подвергаются контролю и получают широкое распространение? Кому выгодно, когда неизвестная компания, занимающаяся вопросами безопасности, публикует неточный масштабный расследовательский материал, который отвлекает внимание от реальных виновников?
