Специалисты Group-IB обнаружили масштабную мошенническую кампанию, за которой стоит хак-группа DarkPath Scammers. Злоумышленники создали распределенную сеть из 134 мошеннических сайтов, имитирующих Всемирную организацию здравоохранения (ВОЗ). Преступники обещали посетителям вознаграждение за прохождение фейкового опроса, посвященного Дню осведомленности о здоровье. Вместо обещанных 200 евро пользователей перенаправляли на сайты знакомств, платных подписок и мошеннические ресурсы.
Еще в начале апреля Международный вычислительный центр ООН (UNICC) оповестил экспертов о фиктивном сайте, использующем имя Всемирной организации здравоохранения. Там пользователям предлагали ответить на несколько простых вопросов и заработать 200 евро по случаю Всемирного дня здоровья, который ежегодно проводится 7 апреля под эгидой ВОЗ.
После ответа на несложные вопросы пользователю предлагали поделиться ссылкой на опрос с друзьями и коллегами по базе контактов в WhatsApp: таким образом мошенники старались масштабировать свою схему.
Исследователи выяснили, что, когда жертва нажимала на кнопку «Поделиться», вместо обещанного вознаграждения ее перенаправляли на сторонние мошеннические ресурсы, где предлагали принять участие в другом розыгрыше, установить расширение для браузера или подписаться на платные услуги. В худшем случае пользователи могли оказаться на вредоносном или фишинговом ресурсах.
Особенностью данной схемы был индивидуальный подход к каждой жертве: контент, который видели пользователи, менялся в зависимости от местоположения, user agent и настроек языка. Например, валюта денежного вознаграждения менялась в зависимости от локации пользователя.
Расследуя этот инцидент, аналитики Group-IB обнаружили сложную распределенную мошенническую инфраструктуру, включавшую в себя сеть из 134 практически идентичных связанных домена, на которых были размещены страницы, связанные со Всемирным днем здоровья. Group-IB добилась блокировки этих доменов через 48 часов после их обнаружения, и мошенники перестали использовать бренд ВОЗ.
Дальнейшее исследование показало, что все эти выявленные и заблокированные домены являлись частью более крупной сетки, которая контролировалась хак-группой DarkPath Scammers. Фальшивые ресурсы, имитирующие ВОЗ, были связаны как минимум с 500 другими мошенническими и фишинговыми ресурсами, имитирующими более 50 известных международных брендов пищевой промышленности, спортивной экипировки, электронной коммерции, программного обеспечения, энергетики и автоиндустрии.
Анализ этих сайтов показал, что преступники используют специальные наборы инструментов (подобные фишинговым наборам) для создания и разработки фейковых страниц. Один такой набор позволяет имитировать одновременно несколько брендов с использованием одного шаблона. Также на большинстве доменов с фишинговым и мошенническим контентом используются сети доставки содержимого (CDN, Content Delivery Network) для сокрытия IP-адресов настоящих серверов.
Интересно, что большинство мошеннических сайтов, контролируемых DarkPath Scammers, по-прежнему активны и нацелены на миллионы пользователей по всему миру. Мошенники рекламируют свои ресурсы с помощью почтовых рассылок, платной рекламы и социальных сетей. По оценке Group-IB, в день сеть мошенников привлекает около 200 000 пользователей из США, Индии, России и других регионов мира.