Киберпреступность

Один фреймворк — сотни тысяч скам-сайтов: мошенники поставили инвестиционные ловушки на поток

Маша Даровская
By Маша Даровская , IT-редактор и автор
Один фреймворк — сотни тысяч скам-сайтов: мошенники поставили инвестиционные ловушки на поток
Обложка © Anonhaven

Мошенники вывели производство скам-сайтов на почти промышленный уровень. Исследователи Infoblox Threat Intel обнаружили более 236 тыс. доменов второго уровня, которые использовались в мошеннической инфраструктуре на базе DCloud Uni-App. Это легальный фреймворк для разработки мобильных приложений и веб-интерфейсов, популярный в Китае. Сам DCloud, по данным исследователей, не связан с преступным использованием своей технологии. Скам-операторы используют готовые шаблоны, меняют домены, бренды, языки, легенды, внешний вид и платёжные маршруты. 

DCloud Uni-App позволяет писать один код на Vue.js и разворачивать его как мобильное приложение, веб-сайт или интерфейс под разные платформы. Для обычных разработчиков это удобно. Для мошенников — тоже. Один шаблон можно быстро размножать, адаптировать под регион и запускать заново после блокировки.

Infoblox изучала сайты, построенные на DCloud Uni-App, и выделила отдельную мошенническую популяцию. В неё вошли фальшивые инвестиционные платформы, криптобиржи, сайты для кражи криптокошельков, поддельные азартные и прогнозные сервисы, фишинговые страницы под мессенджеры и шаблонные формы для сбора учётных данных.

Всего исследователи нашли 236 493 домена второго уровня, связанных с такими схемами. Домены появлялись с середины 2022 года и размещались у разных хостеров. После октября 2024 года темпы заметно выросли: в пиковые месяцы появлялось примерно по 15 тыс. новых сайтов.

Октябрь 2024 года стал важной точкой из-за RainbowEx — фальшивой криптоплатформы, которая стала широко известна после истории в аргентинском городе Сан-Педро. Там в схему вложились тысячи жителей, включая людей из местной администрации и полиции. Когда пользователи попытались вывести деньги, платформа начала блокировать выплаты.

Позже выяснилось, что RainbowEx не была уникальной разработкой. Её интерфейс, регистрация, «торговая» панель и логика вовлечения жертв оказались частью более широкого шаблонного подхода на базе DCloud Uni-App. После публичного резонанса похожие сайты не исчезли. Их стало больше.

Uni-App не является вредоносным инструментом. Это фреймворк, который используют и легальные разработчики. Но у него есть свойства, которые хорошо подходят скам-операторам:

  • Кроссплатформенность. Один шаблон можно разворачивать как мобильный интерфейс и сайт. Жертве кажется, что у проекта есть полноценное приложение, а не одноразовая страница.

  • Узнаваемая мобильная логика. Такие сайты часто выглядят как приложение: кнопки, вкладки, личный кабинет, уведомления, «баланс», графики. 

  • Скорость клонирования. Мошенникам не нужно каждый раз писать платформу с нуля. Достаточно заменить название, логотип, цвета, домен, язык и легенду.

  • Технические отпечатки. Для защитников это плюс: сайты на Uni-App оставляют характерные следы. Для преступников это минус, поэтому более осторожные операторы пытаются убирать стандартные признаки DCloud. Infoblox пишет, что такие «зачищенные» сайты чаще встречались у более устойчивых хостеров и выглядели как работа более подготовленных групп.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.