Group-IB, международная компания, специализирующаяся на предотвращении кибератак и расследовании высокотехнологичных преступлений, обнаружила новую масштабную мошенническую кампанию в Интернете, за которой стоит группа, получившая название DarkPath Scammers. Злоумышленники создали распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ), и обещали пользователям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье. Однако вместо обещанных €200 пользователей перенаправляли на сайты знакомств, платных подписок или мошеннические ресурсы.
Фейковый опрос под эгидой ВОЗ
В начале апреля Международный вычислительный центр ООН (UNICC) оповестил Group-IB о поддельном сайте, использующем бренд Всемирной организации здравоохранения. Пользователям предлагали ответить на несколько простых вопросов и заработать €200 по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
Образец фейковой рекламы: «Поздравляем. Всемирный день здоровья 7 апреля. Вы оказались в числе тех, кому предлагается поддержка Всемирной организации здравоохранения на сумму до 200 евро».
После ответа на несложные вопросы пользователю предлагали поделиться ссылкой на опрос со своими друзьями и коллегами по базе контактов в WhatsApp — таким образом мошенники старались масштабировать свою схему. Исследователи Group-IB выяснили, что, когда жертва нажимала на кнопку «Поделиться» и неосознанно вовлекала в аферу своих знакомых, вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. В худшем случае пользователи могли оказаться на вредоносном или фишинговом сайтах.
Особенностью этой схемы является индивидуальный подход к жертве — контент, который она видит, зависит от местоположения, user agent и настроек языка. Например, валюта денежного вознаграждения менялась в зависимости от локации пользователя.
Знакомьтесь — DarkPath Scammers
В ходе расследования команда Group-IB Digital Risk Protection наткнулась на сложную распределенную мошенническую инфраструктуру, включавшую в себя сеть из 134 практически идентичных связанных доменов, на которых были размещены страницы с тематикой Всемирного дня здоровья. Group-IB заблокировала все мошеннические домены в течение 48 часов с момента обнаружения и после этого мошенники полностью перестали использовать бренд ВОЗ в своей сети.
Однако дальнейшее исследование показало, что все эти выявленные и заблокированные Group-IB домены являлись частью более крупной сетки, которая контролировалась группой мошенников под кодовым названием DarkPath Scammers. Фейковые ресурсы, созданные под ВОЗ, были связаны как минимум с 500 другими мошенническими и фишинговыми ресурсами, имитирующими более 50 известных международных брендов пищевой промышленности, спортивной экипировки, электронной коммерции, программного обеспечения (ПО), энергетики и автоиндустрии.
Скриншот Group-IB Digital Risk Protection, на котором показана сеть из 134 мошеннических сайтов, имитирующих ВОЗ
Анализ сайтов показал, что преступники используют мошеннические наборы инструментов (подобно фишинговым наборам) для создания и разработки мошеннических страниц. Один набор позволяет имитировать одновременно несколько брендов с использованием одного шаблона. На большинстве доменов с фишинговым и мошенническим контентом используются сети доставки содержимого (CDN, Content Delivery Network) для сокрытия IP-адресов настоящих серверов.

Боян Симетич
Специалист по информационной безопасности UNICC
Благодаря собственной системе графового анализа специалисты Group-IB проанализировали десятки SSL-сертификатов, SSH-ключей и DNS и смогли выявить вредоносную инфраструктуру, раскрыть IP-адреса реальных серверов, где хранился фишинговый контент, и связать домены в одну распределенную мошенническую сеть. На всех своих серверах мошенники используют одну и ту же конфигурацию инфраструктуры с характерными ей особенностями и ошибками. Group-IB продолжает мониторинг активности мошеннической группы.
Большинство мошеннических сайтов, контролируемых DarkPath Scammers, на данный момент остаются активны и по-прежнему нацелены на миллионы пользователей по всему миру. Мошенники рекламируют свои ресурсы с помощью почтовых рассылок, платной рекламы и социальных сетей. По оценке Group-IB, вся сеть мошенников привлекает около двухсот тысяч пользователей из США, Индии, России и других регионов в день.

Андрей Бусаргин
Заместитель генерального директора Group-IB по направлению защиты от цифровых рисков
Компаниям необходимо проводить непрерывный онлайн-мониторинг для своевременного обнаружения любых случаев нелегального использования бренда. Многие организации отслеживают только отдельные нарушения, такие как фишинговые страницы и домены, и обходят вниманием другие элементы мошеннической инфраструктуры. Решения Group-IB Digital Risk Protection позволяют компаниям получать полную картину нарушений в отношении их брендов и оперативно устранять все случаи неправомерного использования бренда в Интернете в досудебном порядке без дополнительных инвестиций и затяжных судебных разбирательств.
Чтобы не стать жертвой описанной схемы, пользователям необходимо внимательно проверять с какими сайтами он взаимодействует. Не будет лишним проверить, соответствует ли полученная ссылка домену официального сайта организации: мошенники часто регистрируют доменные имена, созвучные официальным. Необходимо тщательно проверять любой сайт, на котором пользователя просят ввести данные — это обязательная привычка для каждого, кто хочет обеспечить сохранность как своих деньги, так и персональных данных.