Vault Viper: браузер Universe для масштабного мошенничества и обхода блокировок

Новый отчет подробно описывает деятельность Vault Viper, также известной как Baoying Group — часть разветвленной экосистемы киберпреступности в Юго‑Восточной Азии. Группа использует платформы онлайн‑гемблинга не только для мошенничества, но и для более тяжких преступлений, включая торговлю людьми. Исследователи отмечают высокую координацию: несколько сайтов гемблинга работают на общем веб‑шаблоне, связанном с единым поставщиком игрового ПО.

Ключевые выводы

• Vault Viper эксплуатирует модифицированный браузер под названием Universe для обхода региональных запретов на азартные игры (включая рынки вроде China).
• Браузер представляет собой изменённую версию Chrome с возможностями, свойственными вредоносному ПО: выполнение двоичных файлов, мониторинг буфера обмена, внедрение кода.
• Windows‑вариант, выделенный как UB-Launcher.exe, демонстрирует высокую степень скрытности — уклонение от детектирования антивирусами и модификацию легитимных установок Chrome для работы в окружении Universe.
• Инфраструктура включает множество доменов, размещённых в частных и публичных облаках, а также долгоживущие управляющие домены вроде ac101.net, ранее замеченные при распространении вредоносных payload.
• Аналитика указывает на связи с организованными синдикатами, в том числе с ООО «Группа» во главе с Элвином Чау; ранее группа фигурировала под именем vigorish Viper.
• Получены данные о разработке «незаконных банковских проектов» и создании банковского malware, что говорит о диверсификации в направлении финансового мошенничества.

Технический разбор: браузер Universe и его компоненты

По результатам технического анализа, Universe — это не просто кастомная сборка браузера: он интегрирован с набором двоичных и библиотечных компонентов, расширений и прокси‑механизмов, обеспечивающих управляемое соединение пользователей с целевой гемблинг‑инфраструктурой.

Основные технические характеристики и поведенческие признаки:

• выполнение сторонних двоичных файлов и загрузка дополнительных компонентов;
• мониторинг буфера обмена и попытки внедрения кода в процессы;
• установка множества библиотек (.DLL) и browser extensions для обеспечения функционала и скрытности;
• механизмы обхода детектирования антивирусов, в т.ч. через изменение легитимных установок Chrome;
• адаптивное поведение расширений: обнаружение обращений к доменам азартных игр Vault Viper и изменение логики работы в зависимости от активности пользователя.

«Браузер представляет собой модифицированную версию Chrome, способную выполнять двоичные файлы и использовать поведение, подобное вредоносному ПО», — отмечают авторы анализа.

Как работает сеть: прокси, расширения и точки выхода

Одним из ключевых компонентов является специализированное расширение, которое:

• обнаруживает попытки подключения к доменам, связанным с азартными играми Vault Viper;
• организует контролируемые прокси‑соединения и маршрутизирует трафик через знакомые злоумышленнику exit‑точки;
• изменяет поведение в зависимости от активности пользователя — что делает его одновременно инструментом наблюдения и средством управления сетевым трафиком.

Инфраструктура и оперативная безопасность

Инфраструктура Vault Viper распределена по множеству доменов и облачных провайдеров, что затрудняет блокировки и takedown‑операции. Долгоживущие C2‑домены, такие как ac101.net, свидетельствуют о наличии устойчивых каналов управления и распределения вредоносных полезных нагрузок.

Расследование требует корреляции множества артефактов: IP‑адресов, WHOIS‑данных, временных меток, шаблонов регистрации доменов и других идентификаторов, чтобы связать цифровую инфраструктуру с реальными организаторами и синдикатами. Это делает дело ресурсозатратным и межведомственным.

Связи с организованной преступностью и финансовые направления

В отчете подчёркивается, что помимо классических схем онлайн‑мошенничества группа расширяет набор инструментов: задокументированы попытки и проекты, связанные с созданием банковского malware и незаконными банковскими схемами. Это указывает на стратегию диверсификации — от гемблинга к прямому финансовому эксплуатированию жертв.

Риски и практические рекомендации

Для правоохранительных органов, CERT и бизнеса в сфере безопасности целесообразны следующие шаги:

• мониторинг и блокировка доменов, ассоциированных с Vault Viper (включая ac101.net) и связанных облачных ресурсов;
• повышенное внимание к артефактам Universe и файлу UB-Launcher.exe при проверках endpoints и SIEM‑логах;
• анализ установленных расширений в корпоративных браузерах и политики запрета непроверённых расширений;
• корреляция WHOIS, IP и других данных при проведении кампаний по takedown и судебным запросам;
• международное сотрудничество для пресечения трансграничных преступных схем и защиты жертв торговли людьми и финансового мошенничества;
• информационные кампании для пользователей в регионах с запретами на онлайн‑азартные игры: предупреждения о специальных браузерах и фишинговых схемах.

Заключение

Vault Viper / Baoying Group демонстрирует, как современная киберпреступность интегрирует легитимные онлайн‑платформы (онлайн‑гемблинг) с продвинутыми техническими средствами — модифицированными браузерами, расширениями и распределённой C2‑инфраструктурой — для масштабных преступлений. Комплексный ответ требует сочетания технической детекции, правоприменительных мер и международной координации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.