Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / MOZ FAKE EXTENSIONS PAID MEDIA

Понад 150 підроблених розширень [REDACTED]: один серверний модуль, одна мережа

The Enablers Registry·Editorial mirror·/uk/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Розслідування • Час читання: 6–8 хв.

Понад 150 підроблених розширень [REDACTED] — одна серверна платформа та платні медіа

ЗМІ звинуватили «російських ведмедів» у створенні понад 150 підроблених розширень [REDACTED]. Наші розслідування виявили інфраструктуру в Нігерії (IP-адреса 185.208.156.66), повторно використані фішингові набори та те, як оплачені статті сприяли поширенню цього міфу.

Вперше опубліковано на Medium — THE ENABLERS REGISTRY

Оманлива розповідь

Історія про «Понад 150 підроблених розширень [REDACTED]» Інформація, пов’язана з нібито «російським слідом», набула широкого розголосу в провідних ЗМІ, що висвітлюють теми криптовалют та безпеки. Це звучить драматично, але наш аналіз показує, що така версія подій вводить в оману — а що гірше, це прикриває справжніх винуватців.

Понад 150 розширень низької якості на одному сервері

Усі розширення в рамках цієї кампанії були такими:

  • Неоригінальний, наче скопійовано-вставлено.
  • Різнилися лише логотипи та назви.
  • Усі підключені до єдиний бекенд.
IP-адреса сервера: 185.208.156.66
Домен бекенду був [REDACTED]/app.php. Більшість доменів, пов’язаних із цією IP-адресою, наразі недіючі, але архіви зберегли їхні знімки за допомогою Urlscan та WebArchive.

Наші дії проти цієї кампанії

Як незалежна група з аналізу загроз, що спеціалізується на ліквідаціях інфраструктури фішингу та шахрайства, ми:

  • Надіслали звіти безпосередньо до [REDACTED], щоб повідомити про шкідливі розширення.
  • Передано на розгляд Печатка, звернувшись із проханням про професійну допомогу для прискорення процесу заборони.
  • Опублікували звіт на Chainabuse для інформування спільноти.
  • Внесли мільйони порожніх фраз-насіння в серверну частину зловмисників, щоб забруднити викрадені дані.

Чому це не «російська» інфраструктура

Російськомовні зловмисники зазвичай використовують:

  • Розподілені серверні компоненти (IANA #1910 Workers, Firebase, Amazon, унікальні посилання для кожної кампанії).
  • Заплутування коду та надмірність для уникнення одиничних точок відмови.

Натомість ця кампанія продемонструвала:

  • A Нігерійський хостинг-провайдер.
  • Суміжні домени, пов’язані з банківськими шахрайствами, підробленими криптовалютними гаманцями та шахрайством із підробленими доставками.
  • Акаунт у [REDACTED], на який надходять викрадені дані, пов’язані з Нігерійський оператор.
«Російські угруповання створюють складні інфраструктури. Ця ж була дешевою, централізованою та примітивною — саме такою, яку ми вже бачили раніше на нігерійських серверах».

Проблема платних медіа

Платні розміщення в ЗМІ мають серйозні наслідки:

  1. Опубліковано одну платну статтю в авторитетному виданні.
  2. Сотні невеликих сайтів, блогів та каналів у [REDACTED] переписують або перекладають цей матеріал.
  3. За лічені дні це перетворюється на масштабну фейкову історію, яка створює ілюзію правдивості.
«Потерпілі бачать «російський слід», вважають, що справа закрита, і перестають звертатися до правоохоронних органів. Справжні злочинці залишаються безкарними».

Приклад: Енджел Дрейнер

Усі провідні ЗМІ висвітлювали цю тему у своїх заголовках «Angel Drainer було вимкнено після того, як розробники встановили його авторів». Але чи це була правда — чи просто чергова оплачена реклама, яку повторювали доти, доки вона не стала здаватися правдоподібною? Для злочинців купівля статей — це дрібні гроші; для жертв же це змінює все.

Компанії з кібербезпеки, які самостійно займаються своїми PR-кампаніями

Компанії, що займаються кібербезпекою, платять десятки тисяч доларів за статті про себе, свої дослідження та свій вплив. Це викликає принципові питання:

  • Чому справжня група з кібербезпеки повинна платити за висвітлення в ЗМІ?
  • Чи намагаються вони приховати сліди справжнього хакера?
  • Або використати особисті дані хакера для шантажу чи отримання конкурентної переваги?
  • Мета полягає в тому, щоб зміцнити довіру — чи маніпулювати сприйняттям заради прибутку?
«Якщо кібербезпека перетвориться на чергову піар-гру, де факти формуються залежно від того, хто більше платить, то довіра до цієї сфери впаде».

Дані про ринок

Ця практика не є таємницею:

  • На платформах Fiverr, Upwork та спеціалізованих PR-біржах можна безпосередньо придбати «гостьові публікації».
  • Постачальники надсилають таблиці Google Sheets із десятками торгових точок та цінами — у тому числі від відомих брендів у сфері кібербезпеки.
  • Деякі обіцяють: «за додаткову плату — без рекламних наклейок».

Серед заявлених цілей придбання статей можна назвати такі:

  • Побудова посилань (SEO).
  • Трафік та продажі.
  • Впізнаваність бренду.
  • Управління репутацією (приховування негативної інформації).
  • Соціальна верифікація.
  • Перелік документів, що подаються при поданні заявки на візу.

Зазначені витрати включають понад $20,000 щодо оплачуваних ефірних слотів для інтерв’ю у провідних ЗМІ, що висвітлюють криптовалюту.

«Це не журналістика. Це ринок — де довіру купують і продають».

Бізнес проти брехні

Публікація платного контенту не є незаконною — це бізнес. Але коли це переходить у публікація неправдивих тверджень, введення слідства в оману та видавання піар-акцій за факти, це стає частиною проблеми.

Висновок

THE ENABLERS REGISTRY — це незалежна ініціатива у сфері кібербезпеки, яка не отримує оплату, не продає рекламу та не отримує прибутку. Факти очевидні:

  • Понад 150 розширень [REDACTED], що перенаправляються на єдиний сервер на нігерійському хостингу.
  • Дані надійшли на нігерійський акаунт у [REDACTED].
  • Нарратив про «російський слід» є вигаданим.
  • Оплачені ЗМІ роздули цю вигадку доти, доки вона не стала схожою на правду.
  • Навіть самі компанії, що займаються кібербезпекою, витрачають кошти на саморекламу.
«Продаж реклами — це бізнес. Продаж брехні під виглядом фактів захищає злочинців. А коли навіть у сфері кібербезпеки продають наративи, програють і жертви, і справедливість».

Застереження

Ми не звинувачуємо жодну особу, компанію чи ЗМІ. Усі факти є загальнодоступними та можуть бути перевірені за допомогою публічних архівів, сканованих документів та звітів. Справжнє питання полягає в тому: Чому такі наративи контролюються та поширюються? Кому вигідно, коли невідома охоронна компанія публікує недостовірне масштабне розслідування, яке відволікає увагу від справжніх винуватців?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Поділитися цим розслідуванням

Пов’язані розслідування

[REDACTED] TDS: 1 500 панелей зазнали витоку, жодного законного застосування
РОЗСЛІДУВАННЯ
[REDACTED] TDS: 1 500 панелей зазнали витоку, жодного законного застосування
Шкідливе ПЗ «BlockBlasters» на [REDACTED]: викрито недбалість платформи
РОЗСЛІДУВАННЯ
Шкідливе ПЗ «BlockBlasters» на [REDACTED]: викрито недбалість платформи
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings