Расследование GhostVendors: масштабные мошеннические торговые площадки

Обнаружена масштабная мошенническая кампания хакера «GhostVendors» с использованием поддельных торговых площадок

Эксперты аналитической компании Silent Push Threat выявили крупную мошенническую кампанию, организованную хакером, известным под прозвищем GhostVendors. В рамках этой операции злоумышленник создает тысячи фейковых интернет-магазинов, выдающих себя за известные бренды, и размещает объявления о продаже поддельных товаров. Для реализации своих планов используется более 4000 доменов, а продвижение сайтов осуществляется с помощью рекламы на платформе Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta).

Тактика мошенников: как работает схема GhostVendors

Мошенники специализируются на создании фальшивых торговых площадок, которые предлагают покупателям популярные товары по подозрительно низким ценам. Основные особенности их деятельности:

• Использование более 4000 доменов, сгенерированных при помощи алгоритмов генерации доменов (DGA), что поднимает барьер для их оперативного блокирования.
• Размещение рекламы на Facebook с целью привлечения трафика именно на эти мошеннические сайты.
• Ориентация на популярные бренды и ритейлеров, такие как Amazon, Costco и Rolex.
• Быстрое удаление рекламы и связанного контента из библиотеки Meta через несколько дней после публикации, что затрудняет их обнаружение и анализ.
• Предоставление фейковых товаров с целью кражи платежных данных или недоставки оплаченного заказа.

Примеры и методы маскировки

Одна из зафиксированных рекламных кампаний рекламировала набор инструментов Milwaukee Tool Box под измененным названием «Millaeke». Сайт, на который вел переход, был искусно замаскирован и соответствовал общей стратегии подделок этих хакеров.

Аналитики также обнаружили страницу в Facebook под названием «Rabx-B», с которой рекламировались различные сомнительные домены. Наличие характерных метаданных в рекламных объявлениях позволяет исследователям выявлять закономерности и связывать множество доменов с одним субъектом мошенничества.

Угрозы для компаний и потребителей

Деятельность GhostVendors создает значительные риски:

• Подрывает доверие к известным брендам и наносит ущерб их репутации.
• Повышает вероятность финансовых потерь у потребителей из-за мошеннических заказов и кражи платежных реквизитов.
• Создает сложности для правоохранителей и экспертов кибербезопасности ввиду быстрого удаления рекламного контента и активного использования DGA.

По мнению специалистов Silent Push Threat, существующая структура таких мошеннических кампаний демонстрирует высокую адаптивность и высокую скорость внедрения новых комбинаций доменов и рекламных объявлений. Это подчеркивает необходимость регулярного мониторинга платформ социальной коммерции и усиления механизмов защиты, позволяющих своевременно выявлять и блокировать подобные угрозы.

Заключение

Операции, проводимые под псевдонимом GhostVendors, представляют собой хорошо организованную масштабную схемы мошенничества. Они указывают на серьезные вызовы в области кибербезопасности при защите как брендов, так и потребителей в условиях активного развития online-commerce. Комплексное взаимодействие аналитиков, социальных платформ и правоохранителей становится ключевым фактором противодействия таким преступным схемам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.