- 19,963
- 44
- 8 Ноя 2022
Соцсети и SEO стали оружием воров данных.
Киберпреступные группировки выстраивают целые инфраструктуры для распространения инфостилеров — вредоносных программ, которые воруют пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей.
Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в даркнете и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются Telegram-боты : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению.
Сами трафферы используют широкий спектр техник. Они создают фишинговые панели (например, под видом онлайн-казино), продвигают вредоносные ссылки через <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов Panda и Penguin .
Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые майнеры для дополнительного заработка.
Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам FUD Loader (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются Stealc V2 и Rhadamanthys Stealer , а логи с украденными данными выгружаются через Telegram-бота . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики.
По данным исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний.
Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на вредоносные страницы .
Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от киберпреступлений .
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
Киберпреступные группировки выстраивают целые инфраструктуры для распространения инфостилеров — вредоносных программ, которые воруют пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей.
Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в даркнете и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются Telegram-боты : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению.
Сами трафферы используют широкий спектр техник. Они создают фишинговые панели (например, под видом онлайн-казино), продвигают вредоносные ссылки через <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов Panda и Penguin .
Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые майнеры для дополнительного заработка.
Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам FUD Loader (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются Stealc V2 и Rhadamanthys Stealer , а логи с украденными данными выгружаются через Telegram-бота . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики.
По данным исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний.
Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на вредоносные страницы .
Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от киберпреступлений .
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
- Источник новости
- www.securitylab.ru
