TrustTrap: 16 800 доменов маскируются под госресурсы

Крупномасштабная кампания TrustTrap стала одной из самых заметных операций по обману пользователей через поддельные домены: исследователи установили, что в ней задействовано более 16 800 вредоносных доменов, большинство из которых было создано с начала 2026 года. Схема строится на имитации государственных ресурсов и эксплуатации доверия к URL-адресам, содержащим доменную зону .gov.

Как устроена TrustTrap

Особенность операции заключается в использовании поддельных государственных меток, встроенных в виде поддоменов. Это создаёт у пользователя впечатление, что сайт связан с официальными структурами, хотя никаких реальных полномочий в системе DNS у злоумышленников нет.

Вредоносные домены, как правило, связаны с инфраструктурой, размещённой в Tencent Cloud и Alibaba Cloud. Основные цели кампании — государственные службы в ряде штатов США, а также пользователи в Индии, Вьетнаме и регионах, связанных с Великобританией.

На кого нацелены атаки

Анализ показал, что кампания ориентирована прежде всего на сервисы, с которыми граждане сталкиваются в повседневной жизни и которые предполагают срочное действие или оплату. Среди наиболее вероятных приманок:

• службы регистрации транспортных средств;
• системы взимания платы за проезд;
• другие государственные онлайн-сервисы, требующие ввода данных.

Именно такие сценарии особенно эффективны для социальной инженерии: пользователь видит знакомый и, на первый взгляд, официальный адрес, после чего с большей вероятностью вводит учётные данные или данные платёжной карты.

Технические приёмы маскировки

Основной механизм обмана строится на эксплуатации доверия к привычным структурам адресов. Злоумышленники используют:

• встраивание доверительных отношений с поддоменами;
• семантическое нарушение с использованием дефисов;
• визуально схожие URL-адреса, способные обходить стандартные блокировочные списки;
• предварительную подготовку доменов, которые остаются неактивными до момента запуска фишинговой кампании.

Многие из этих доменов выглядят безобидно на этапе регистрации, однако позже активируются для проведения фишинговых атак. Дополнительным фактором риска остаётся перекрытие IP-адресов и заметная активность регистраторов, связанных с Gname.com Pte. Ltd. и Dominet (HK) Limited.

Предпочтительные доменные зоны

Исследование TLD показывает явное предпочтение доменных зон .bond, .cc и .cfd. Эти зоны часто используются в мошеннических сценариях, поскольку позволяют быстро массово регистрировать новые адреса и гибко менять инфраструктуру по мере блокировок.

Связь с APT36

Примечательно, что анализ инфраструктуры выявил признаки, соответствующие APT36 — злоумышленнику, который уже известен атаками на государственные структуры. Наблюдаемые закономерности включают повторное использование инфраструктуры, применение shared hosting и чёткое совпадение с географией целей.

Дополнительную уверенность в атрибуции даёт и историческая методология группы: APT36 ранее использовал подмену индийских правительственных сервисов с помощью тщательно сконструированных URL-адресов, имитирующих структуру легитимных государственных доменов.

Почему эта схема опасна

TrustTrap демонстрирует, насколько эффективно злоумышленники могут использовать визуальное сходство и привычные для пользователей элементы адресации. Даже небольшое изменение в URL — поддомен, дефис или нетипичная доменная зона — может оказаться достаточным, чтобы обойти внимательность жертвы.

Именно сочетание массовой инфраструктуры, целевого выбора сервисов и грамотной имитации официальных ресурсов делает эту кампанию особенно опасной: она нацелена не только на кражу учётных данных, но и на компрометацию платёжной информации, что повышает потенциальный ущерб для граждан и государственных структур.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.