Обещания бесплатной валюты в Roblox заманили сотни подростков в хакерскую ловушку

За последние пять лет тысячи сайтов госучреждений США, ведущих университетов и профессиональных организаций были взломаны и использовались для продвижения правдоподобных, но мошеннических предложений и акций. Многие из этих афер были направлены на детей и пытались обманом заставить их скачивать приложения, вредоносное ПО и даже добровольно предоставлять свои личные данные в обмен на несуществующие вознаграждения в Fortnite и Roblox .

Уже более трёх лет исследователь кибербезопасности Зак Эдвардс из Human Security отслеживает подобные аферы. По его словам, эта деятельность связана с пользователями одной конкретной рекламной компании CPABuild , зарегистрированной в США. Компания выступает в качестве сервиса, который направляет веб-трафик к ряду онлайн-рекламодателей, позволяя отдельным лицам регистрироваться и использовать её системы, судя по всему, не сильно волнуясь о безопасности интернет-пользователей.

Каждый день Эдвардс обнаруживает десятки взломанных доменов «.gov», «.org» и «.edu». Вот, что он думает по поводу хакеров, стоящих за этой угрозой: «Эта группа злоумышленников, по моему мнению, является номером один по массовой компрометации инфраструктуры в Интернете, использованию мошеннических схем и других видов вредоносной эксплуатации». Масштаб продолжающихся взломов и публичный характер афер сильно выделяют группировку над остальными интернет-злоумышленниками, отмечает исследователь.

Схемы и способы заработка хакеров сложны, однако каждый из сайтов взламывается аналогичным образом. В основном злоумышленники используют уязвимости или слабые места в бэкенде или системе управления контентом ( CMS ), чтобы загрузить на сайт вредоносные PDF -файлы.

Эти документы, которые Эдвардс называет «отравленными PDF», предназначены для появления в поисковых системах и продвижения «бесплатных скинов Fortnite», «генераторов игровой валюты Roblox» или «трансляций популярных фильмов», таких как «Барби» и «Оппенгеймер». PDF-файлы содержат сотни ключевых слов, поэтому многие люди так или иначе выйдут на заражённый сайт.

Когда жертва скачивает вредоносный PDF-файл и переходит по ссылке внутри него, она перенаправляется через несколько сайтов, и попадает в конечном итоге на мошеннические целевые страницы. При этом, как отмечает исследователь, существует «множество целевых страниц, кажущихся очень ориентированными на детей».

На изображении выше демонстрируется мошеннический сервис якобы для генерации внутриигровой валюты Roblox. Тут игрока просят ввести свой никнейм и указать операционную систему, после чего можно будет получить столько бесплатных монет, сколько доверчивый геймер пожелает, однако тут и кроется главный подвох.

Всплывающее окно с надписью «Последний шаг!» гласит, что бесплатные игровые монеты будут разблокированы, только если жертва зарегистрируется уже в другом сервисе, введёт там свои личные данные или скачает вредоносное приложение. Однако и эти действия не приводят к получения желаемой награды, а вот мошенники вполне могут заработать, продав личные данные пользователя в даркнете.

Такие аферы существуют уже давно, но эти выделяются тем, что так или иначе связаны с рекламной компанией CPABuild и её участниками, говорит Эдвардс. Все взломанные сайты, на которых загружены PDF-файлы, обращаются к C2-серверам, принадлежащим CPABuild.

Можно решить, что CPABuild — изначально мошенническая компания, которая каким-то образом просуществовала безнаказанно уже много лет, однако и тут есть нюанс. «CPA» в названии компании расшифровывается как «Cost Per Action» или «плата за действие». Компания была создана для продвижения подобных объявлений на вполне законных условиях, но вряд ли у её специалистов есть физическая возможность контролировать каждое мошенническое объявление.

На веб-сайте компании утверждается, что специалисты проводят «ежедневные» проверки на мошенничество , чтобы поймать кибернегодяев, злоупотребляющих платформой, а условия предоставления услуг в принципе запрещают клиентам сервиса участвовать в мошеннической деятельности. Тем не менее, исследование Эдвардса показывает, что какие бы усилия в действительности ни предпринимала CPABuild, это пока что не привело к заметному результату.

Сам исследователь говорит, что схема так и может остаться безнаказанной, поскольку все вредоносные ссылки в процессе компрометации передаются через службы перенаправления, которые маскируют личность злоумышленников. Кроме того, похитители данных, тем более работающие на добровольной основе, могут и вовсе остаться незамеченными, поскольку ущерб от них не так очевиден и нагляден, как от тех же программ-вымогателей.

Тем временем, об использовании компании CPABuild в мошеннических схемах известно уже давно. Тот же Эдвардс из Human Security привлекал внимание CISA к взломанным правительственным сайтам и посредничеству CPABuild в атаках, однако это не привело к видимым результатам.

CPABuild также неоднократно обсуждался на киберпреступных форумах, поэтому множество хакеров прекрасно осведомлены о том, как можно использовать данную платформу в своих целях. «Многие пользователи ищут инструкции о том, как пройти одобрение в CPABuild, а также об аккаунтах в CPABuild, которые они могут купить» — сообщает директор по исследованию угроз компании KELA .

Так или иначе, сколько бы жалоб интернет-пользователи и исследователи не оставляли на CPABuild, прикрыть контору насовсем без веских оснований в США, видимо, не могут. Это во многом напоминает историю про использование Telegram различного рода злоумышленниками. Хотя едва ли у CPABuild можно найти какие-либо положительные стороны, сделавшие жизнь интернет-пользователей лучше и удобнее, чего уже не скажешь о том же Telegram.

Эта история наглядно показывает, что Интернет по-прежнему остаётся местом, полным опасностей. Особенно для детей, которые могут без колебаний слить данные о себе или своих родителях за сотню-другую «робаксов».

Родителям стоит быть особенно бдительными, объясняя своим детям, что обещания чего-то слишком хорошего, чтобы быть правдой, очень часто оказываются ловушками мошенников. Дети должны знать, что никогда не стоит вводить личную информацию или скачивать приложения ради обещанных онлайн-наград.

Мы также видим, что компании, подобные CPABuild, должны нести куда большую ответственность за мониторинг мошеннической деятельности на своих платформах, чтобы защитить пользователей интернета.