Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / KEITARO TDS EXPOSED

«[REDACTED] TDS» розкрито: розподіл трафіку

The Enablers Registry·Editorial mirror·/uk/keitaro-tds-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Механізм маскування, що стоїть за кожним шахрайством, якого ви ніколи не бачили. THE ENABLERS REGISTRY просканував понад 50 000 сайтів, виявив 1 565 адміністративних панелей [REDACTED] TDS і не знайшов жодного легітимного використання. Кожна з цих панелей була пов’язана з криптовалютним шахрайством, фішингом, розповсюдженням шкідливого ПЗ або чимось ще гіршим. Серед клієнтів — EvilCorp, програмне забезпечення для вимагання викупу LockBit та VexTrio. Наразі оприлюднено набір інструментів для виявлення з відкритим кодом, 7-крокову методологію та повний CSV-файл з даними про панелі.

Знайдено 1 565 панелейРівень шкідливості — 100 %7 Методів виявленняВипущено 4 інструменти
«Кейтаро TDS» — розкриття таємниці
0
Знайдено панелі адміністратора
50,000+
Перевірені сайти
0%
Дозволені види використання
7
Методи виявлення

Що таке [REDACTED] TDS?

[REDACTED] TDS — це комерційна система розподілу трафіку, яку реалізує «Аплітені» ОУ, компанія, зареєстрована в Естонія. На перший погляд, ця система позиціонує себе як інструмент управління трафіком для партнерських маркетологів. Насправді ж це найпоширеніший механізм маскування в глобальній екосистемі шахрайства.

«Клокінг» — це мистецтво показувати різний контент різним відвідувачам. Коли дослідник у сфері безпеки, експерт з перевірки реклами або співробітник правоохоронних органів заходить на певну URL-адресу, [REDACTED] ідентифікує їх і показує чисту, «невинну» сторінку. Коли ж справжня жертва заходить на той самий URL-адресу, її перенаправляють на криптошахрайські сайти, фішингові сторінки, сторінки для завантаження шкідливого програмного забезпечення або шахрайські сайти електронної комерції. Жертва ніколи не бачить «чисту» версію. Аналітик ніколи не бачить шахрайства.

Ціни у «Кейтаро» варіюються від від 40 до 400 євро на місяць, позиціонуючи її як інфраструктуру для боротьби з шахрайством корпоративного рівня. Вона зберігає дані відвідувачів протягом періоду до 9,75 років, надаючи операторам величезний масив даних, що містить відбитки пальців жертв, географічні дані та профілі поведінки. Усі ці дані зберігаються на Інфраструктура AWS, тобто Amazon, сам того не усвідомлюючи, забезпечує серверну інфраструктуру для тисяч шахрайських операцій.

Фіктивна компанія

«Аплітені» ОУ працює з Естонії, використовуючи програму «е-резиденства» цієї країни та сприятливе законодавство щодо конфіденційності корпоративних даних. Компанія підтримує видимість легітимності за допомогою професійного маркетингу, документації та служби підтримки клієнтів — хоча кожне зафіксоване використання їхнього продукту пов’язане зі злочинною діяльністю. Вони беруть плату в розмірі 40–400 євро на місяць за те, що фактично є платформою «шахрайство як послуга» із зберіганням даних протягом майже десяти років.

Цифри: 1 565 панелей, жодної дійсної

Дослідження THE ENABLERS REGISTRY розпочалося з простої гіпотези: якщо у [REDACTED] TDS є законні сфери застосування, ми маємо виявити їх у значних масштабах. Ми просканували Понад 50 000 сайтів застосовуючи поєднання автоматизованих інструментів та ручної перевірки, зосередившись саме на пошуку «відбитків» [REDACTED] TDS. Наші висновки були однозначними.

1 565 активних панелей адміністратора [REDACTED] були виявлені. Ми проаналізували кожну з них. Результат: нуль законних розгортань. Жодна з панелей не використовувалася для законного партнерського маркетингу, A/B-тестування чи будь-яких інших нешкідливих цілей. Кожна панель — 100% — була пов’язана зі злочинною діяльністю.

1,565
Активні панелі
100%
Рівень шкідливої активності
50 тис.+
Перевірені сайти
9,75 років
Максимальний термін зберігання даних

Розподіл за категоріями зловживань

1 565 панелей було розподілено між шістьма основними категоріями зловживань. Багато панелей обслуговували одразу кілька категорій, використовуючи систему маршрутизації трафіку [REDACTED] для перенаправлення жертв до різних типів шахрайства залежно від географічного розташування, пристрою або часу доби.

Категорія зловживаньОпис
Криптовалютні шахрайства Фейкові інвестиційні платформи, програми для викачування коштів з гаманців, шахрайські цільові сторінки для pig butchering
Фішинг Збір облікових даних банків, поштових сервісів та соціальних мереж
Поширення шкідливого програмного забезпеченняДоставка завантажувачів, підготовка до запуску програм-вимагачів, приховане завантаження
Шахрайство в електронній комерціїНелегальні магазини, підроблені товари, скімінг платіжних карток
Шахрайство на сайтах знайомствРомантичне шахрайство, цільові сторінки для сексторції, фейкові профілі
Шахрайство у сфері азартних ігор Неліцензовані казино, фальсифіковані платформи для ставок, крадіжки коштів з депозитів

Методологічна примітка

Кожна панель перед класифікацією була перевірена щонайменше двома незалежними методами виявлення. Помилкові спрацьовування були перевірені вручну та виключені. Цифра 1 565 відображає лише підтверджені активні інсталяції [REDACTED] — реальна кількість розгортань, включаючи ті, що знаходяться за додатковими рівнями захисту, безперечно є більшою.

Перелік клієнтів у кримінальних справах

[REDACTED] TDS використовують не лише дрібні шахраї. Це інфраструктура для маскування, яку обирають деякі з найнебезпечніших кіберзлочинних організацій на планеті. Ось перелік задокументованих клієнтів:

EvilCorp

Російський кіберзлочинний синдикат, що перебуває під санкціями, використовує [REDACTED] для обходу міжнародних санкцій. Маскуючи свою діяльність під трафіком, що проходить через [REDACTED], компанія EvilCorp обходить ті самі заходи безпеки, які покликані її зупинити. Кожен клік, що проходить через [REDACTED], є порушенням санкцій, яке стає можливим завдяки програмному забезпеченню компанії Apliteni OU.

Програма-вимагач LockBit

Група хакерів LockBit використовувала [REDACTED] для розповсюдження шкідливого програмного забезпечення, застосовуючи його можливості маскування, щоб гарантувати, що лише справжні цілі отримували шкідливі навантаження, тоді як пісочниці систем безпеки та дослідники бачили нешкідливий вміст. [REDACTED] став фактором, що значно посилив ефективність однієї з найруйнівніших операцій із використанням програм-вимагачів в історії.

VexTrio

Найбільший відомий клієнт компанії «Кейтаро». Компанія «VexTrio» працює з Понад 60 партнерів та елементи керування 86 832+ доменів, і всі вони направляють трафік через механізм розповсюдження [REDACTED]. Ця єдина операція становить значну частину шкідливого рекламного трафіку в Інтернеті, а [REDACTED] є основою, яка забезпечує його прихованість.

ClearFake

ClearFake вставляє на зламані веб-сайти підроблені повідомлення про оновлення браузера, завантажуючи шкідливе програмне забезпечення, коли жертви натискають кнопку «Оновити». Технологія маскування [REDACTED] гарантує, що шкідливе накладне вікно бачать лише справжні відвідувачі, тоді як сканери безпеки бачать оригінальний, чистий веб-сайт. Результат: завантаження шкідливого програмного забезпечення з майже нульовим рівнем виявлення.

FakeBat

FakeBat — це завантажувач шкідливого програмного забезпечення, що поширюється через шкідливі рекламні кампанії. [REDACTED] направляє рекламний трафік через механізм прийняття рішень: засоби безпеки перенаправляються на легітимні сторінки завантаження програмного забезпечення, тоді як справжнім користувачам пропонуються інсталятори, заражені троянами. [REDACTED] робить рекламні кампанії FakeBat практично непомітними для команд з безпеки рекламних платформ.

Двійник

Російська дезінформаційна кампанія, пов’язана з державою, яка використовує [REDACTED] для поширення пропаганди в західних соціальних мережах. Географічні та пристройові відбитки [REDACTED] гарантують, що модератори контенту та фахівці з перевірки фактів бачать інший контент, ніж цільова аудиторія. Інформаційна війна, що ведеться за допомогою комерційного естонського програмного забезпечення.

«Ми виявили сліди діяльності «Кейтаро» у кожній великій операції з кіберзлочинності, яку розслідували за останні 18 місяців. Це не випадковість — це галузевий стандарт для злочинців».

— Дослідницька група THE ENABLERS REGISTRY

7-бальна методологія виявлення

У ході цього розслідування компанія THE ENABLERS REGISTRY розробила сім незалежних методів виявлення випадків розгортання [REDACTED] TDS. Кожен із цих методів спрямований на виявлення певного «відбитка», який залишає [REDACTED], і разом вони утворюють комплексну систему виявлення, яка тепер доступна у вигляді інструментарію з відкритим кодом.

1. /click_api/v3 Кінцева точка

Основна точка кінцевого API [REDACTED] для обробки подій кліків. Цей шлях жорстко запрограмований у програмному забезпеченні та присутній у кожній інсталяції. Перевірка наявності цієї точки кінцевого API — найшвидший спосіб підтвердити наявність розгортання [REDACTED]. Відповідь із кодом 200 або 302 за цим шляхом є майже стовідсотковим підтвердженням наявності [REDACTED].

2. _lp / _token / _subid Параметри URL-адреси

[REDACTED] додає до URL-адрес особливі параметри відстеження під час ланцюжків перенаправлень. Цей _lp параметр визначає цільову сторінку, _token забезпечує сесійну автентифікацію, а також _subid відстежує джерела субафіліатів. Ці параметри є унікальними для [REDACTED] і рідко зустрічаються в легітимних системах управління трафіком.

3. Файли cookie, пов’язані з [REDACTED]

[REDACTED] встановлює особливі файли cookie для відстеження сеансів відвідувачів та збереження стану маскування. Ці файли cookie відповідають правилам іменування, що відрізняються від стандартних аналітичних платформ, завдяки чому їх можна ідентифікувати за допомогою перевірки браузера або автоматизованого аналізу файлів cookie.

4. Шаблони заголовків відповіді

Відповіді сервера [REDACTED] містять характерні шаблони HTTP-заголовків, зокрема певні директиви cache-control, власні заголовки та рядки ідентифікації сервера, які відрізняються від стандартних веб-серверів. Ці заголовки зберігаються навіть тоді, коли оператори намагаються налаштувати свої інсталяції.

5. Ланцюжки перенаправлень у JavaScript

[REDACTED] використовує багатоетапні перенаправлення JavaScript для аналізу «відбитків» відвідувачів, перш ніж прийняти рішення про те, чи показувати шахрайську сторінку, чи безпечну. Ці ланцюжки перенаправлень відповідають передбачуваним шаблонам — конкретним іменам змінних, послідовностям у часі та логіці оцінки — які можна виявити за допомогою статичного та динамічного аналізу JavaScript.

Карта поширення у світі: по всьому світу виявлено 1 565 панелей [REDACTED] TDS, легальних випадків використання не виявлено
Карта поширення у світі: по всьому світу виявлено 1 565 панелей [REDACTED] TDS, легальних випадків використання не виявлено
6. Аналіз шаблонів доменів

Оператори [REDACTED], як правило, реєструють домени, дотримуючись передбачуваних правил іменування та схем реєстрації. Аналіз великих масивів доменів виявляє скупчення доменів зі схожими даними WHOIS, датами реєстрації, конфігураціями серверів імен та хостинг-провайдерами — і все це вказує на скоординовані розгортання [REDACTED].

7. Ідентифікація адміністративної панелі

Доступ до адміністративних панелей [REDACTED] здійснюється за відомими шляхами, і вони повертають характерні HTML-структури, імена CSS-класів та файли JavaScript. Навіть коли адміністратори змінюють URL-адресу входу за замовчуванням, фреймворк інтерфейсу панелі залишає ідентифікаційні сліди, які можна виявити за допомогою переліку шляхів та аналізу відбитків вмісту.

Багаторівневий захист

Жоден окремий метод виявлення не є безвідмовним. Досвідчені зловмисники можуть вимкнути або змінити окремі «відбитки пальців». Саме тому 7-пунктна методологія працює як багаторівнева система — навіть якщо зловмисник усуне три чи чотири «підписи», решта методів все одно виявлять розгортання. Під час наших випробувань кожна панель [REDACTED] була виявлена щонайменше чотирма з семи методів.

Карта світової інфраструктури

1 565 панелей [REDACTED] розміщені в глобальній інфраструктурі хостингу, яка віддає перевагу дешевим провайдерам VPS та юрисдикціям із повільним часом реагування на зловживання. Ось де розташовані ці панелі:

РегіонПровайдери хостингуПримітки
Сполучені ШтатиDigitalOcean, Vultr Найбільша кількість серверів. Хостинг, розташований у США, забезпечує швидкий час відгуку для користувачів із Північної Америки.
НідерландиРізні VPS Популярний для кампаній, орієнтованих на європейський ринок. Ліберальна політика щодо хостингу.
НімеччинаHetzner, різні Основний Hub операцій з фішингу та шахрайства в сфері електронної комерції, спрямованих на країни ЄС.
РосіяРізні види куленепробивних База для багатьох операторів. Хостинг-провайдери, які не вживають жодних заходів щодо боротьби зі зловживаннями.
Велика БританіяРізні хмари Використовується для атак на фінансові установи та державні служби Великої Британії.
ГонконгКластер «Фемо» Окремий кластер сайтів, пов’язаний із криптовалютними шахрайськими схемами, спрямованими на азіатських користувачів. «Кластер Femo» діє як злагоджена група.

Домінування США

У Сполучених Штатах зосереджена найбільша кількість панелей [REDACTED], переважно на платформах DigitalOcean та Vultr. Це провідні хмарні провайдери, які обробляють повідомлення про зловживання, — однак через великий обсяг розгортань та швидкість, з якою оператори запускають нові екземпляри, команди, що борються зі зловживаннями, постійно намагаються наздогнати ситуацію.

Кластер «Фемо»

Окремий кластер панелей [REDACTED], що функціонує на базі інфраструктури Гонконгу та націлений на азіатські ринки з метою здійснення криптовалютних шахрайств та шахрайства у сфері азартних ігор. «Кластер Femo» демонструє скоординовані схеми розгортання, що свідчить про наявність єдиного оператора або організованої групи, яка одночасно керує десятками панелей.

Бекенд AWS

Незалежно від того, де розміщені інтерфейсні панелі, основне сховище даних [REDACTED] працює на Amazon Web Services (AWS). Це означає, що на інфраструктурі Amazon зберігаються «відбитки» відвідувачів, журнали перенаправлень та дані про таргетинг, що стосуються, можливо, мільйонів жертв шахрайства. З огляду на термін зберігання даних, що становить до 9,75 років, AWS є хостинг-провайдером однієї з найбільших існуючих баз даних про жертв шахрайства.

Випущено інструменти з відкритим кодом

Паралельно з цим розслідуванням THE ENABLERS REGISTRY випускає повний набір інструментів для виявлення з відкритим кодом. Усі інструменти є безкоштовними, не потребують API-ключів і готові до негайного використання. До набору входить повний набір даних, що містить 1 565 панелей.

checker.html

Веб-сервіс для перевірки панелей [REDACTED]. Відкрийте його в будь-якому браузері, введіть URL-адресу та отримайте миттєві результати перевірки. Не потребує встановлення. Використовує 7-бальну методологію на стороні клієнта.

[REDACTED].py

Сканер на Python для масового виявлення [REDACTED]. Додайте до нього список доменів, і він застосує всі 7 методів виявлення, видавши підтверджені панелі з показниками достовірності. Призначений для команд з безпеки та дослідників.

worker.js

IANA #1910 Worker для виявлення [REDACTED] в режимі реального часу. Розгорніть його у своєму обліковому записі IANA #1910, і він перехоплюватиме запити в режимі реального часу, позначаючи трафік, замаскований за допомогою [REDACTED], ще до того, як він дійде до користувачів. Захист із нульовою затримкою на периферії.

panels.csv

Повний набір даних про всі 1 565 підтверджених адміністративних панелей [REDACTED]. Містить IP-адреси, імена хостів, методи виявлення, що спрацювали, хостинг-провайдерів та географічні дані. Регулярно оновлюється.

Повне сховище доказів

Усі інструменти, дані та докази опубліковано за адресою enablers.report/ScamIntelLogs/[REDACTED]/. Репозиторій є загальнодоступним і буде оновлюватися у міру виявлення нових панелей. Ми радо вітаємо внески від спільноти та додаткові методи виявлення.

Виявляти, повідомляти, ліквідувати

Як ми виявили панелі [REDACTED] TDS — методологія ідентифікації за «відбитками пальців»
Як ми виявили панелі [REDACTED] TDS — методологія ідентифікації за «відбитками пальців»
Трафік [REDACTED] TDS — як шкідливі панелі перенаправляють жертв
Трафік [REDACTED] TDS — як шкідливі панелі перенаправляють жертв

[REDACTED] TDS — це невидима інфраструктура, яка підтримує діяльність шахраїв. Кожна панель, про яку ви повідомляєте, кожне виявлення, яке ви робите, та кожен набір даних, яким ви ділитеся, допомагають зруйнувати цю екосистему. Користуйтеся інструментами. Діліться даними. Повідомляйте про те, що ви виявили.

#[REDACTED]#TrafficDistribution#Malvertising#ScamInfra#Investigation

Пов’язані дослідження

Епідемія фейкових казино: викрито 5 сайтів
Порівняльний аналіз діяльності 4 операторів казино, що працюють за моделлю PaaS, з 383 підтвердженими жертвами у понад 30 країнах.
Викрито набір інструментів «Crypto Drainer»
Як TRXDrop і NiceCrypto використовують підключення до гаманців для крадіжки криптоактивів.
Проєкт: «Імперія шахрайства» на 10 млн доларів
За лаштунками імперії шахрайства, яка здійснює організовані шахрайські операції у величезних масштабах.
Порівняння шахрайських угруповань
Порівняння структур, інструментів та методів діяльності організованих шахрайських угруповань.
Інструменти та послуги THE ENABLERS REGISTRY
Повний набір інструментів з відкритим кодом для виявлення, аналізу та складання звітів, призначених для дослідників у галузі безпеки.
Анатомія ліквідації
Покрокова інструкція щодо того, як ми ліквідуємо фішингову інфраструктуру.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings