Весной 2021 года аналитики департамента Digital Risk Protection (DRP) Group-IB зафиксировали мошенническую схему, направленную на пользователей арабоговорящих стран на Ближнем Востоке. В своих атаках злоумышленники незаконно использовали свыше 130 известных брендов со всего мира из различных индустрий: телекоммуникации, розничная торговля, индустрия развлечений и др.

В общей сложности аналитики Group-IB обнаружили более 4 300 мошеннических страниц, созданных на популярном веб-сервисе для ведения блогов Blogspot. Все эти страницы были зарегистрированы группой из более чем 100 аккаунтов.

Скаммеры действовали по проверенной схеме, используя в качестве приманки конкурсы-giveaway якобы от известных брендов, розыгрыши денежных призов от знаменитостей, а также конкурсы по трудоустройству от государственных организаций. Используя такие уловки, злоумышленники похищали личные данные или привлекали трафик на другие мошеннические сайты. Количество посетителей конечных сайтов, задействованных в схеме, составляет более 500 000 человек в месяц.

Жертвы попадают в сети злоумышленников, согласившись принять участие в якобы промо-акции от известного бренда, гос организации или знаменитости, чтобы попытаться выиграть ценный приз, деньги или получить работу, пройдя опрос или сыграв в "колесо фортуны".

Жертву также могут попросить ввести свое полное имя, номер телефона, город проживания, уровень образования или желаемое место работы.

Независимо от выбора ответов или прокрутки "колеса", пользователь объявляется победителем и его просят поделиться ссылкой на этот или аналогичный сайт с розыгрышем с 5-20 контактам в WhatsApp. Это позволяет скамерам расширить потенциальный пул жертв.

После того, как жертва рассылает необходимое число сообщений, ее перенаправляют на другие мошеннические ресурсы: новые розыгрыши, скам-сайты знакомств, сайты с установкой расширений для браузера. В худшем случае жертва может оказаться на вредоносном или фишинговом сайте.

Главной целью злоумышленников стали компании из телекоммуникационного сектора: в своей схеме мошенники использовали по меньшей мере 47 брендов телекоммуникационных компаний. Помимо телекома, мошенники также наживались на клиентах брендов из сферы розничной торговли, индустрии развлечений и автомобильной отрасли.

Злоумышленники эксплуатировали не только бренды компаний, но и персональные бренды известных личностей, в частности членов королевской семьи Саудовской Аравии.

Мошенническая кампания была нацелена на 16 арабоговорящих стран: Саудовскую Аравию, Кувейт, Иорданию, Судан, Марокко, Египет, Бахрейн, Ирак, Йемен, Палестину, ОАЭ, Алжир, Ливан, Катар, Сирию, и Оман. Также атаке были подвержены англоязычные интернет-пользователи из Турции и Нигерии.

Однако мошенническая группа не всегда использовала на своих сайтах известные бренды и личности. Среди сайтов специалистами Group-IB также были выявлены фейковые сайты знакомств и просто фейковые розыгрыши.

Для того, чтобы заманить пользователей на скам-сайт, мошенники использовали рассылки в мессенджере WhatsApp, а также всплывающие окна pop-up и сервис контекстной рекламы Google Ads. Первый относящийся к этой мошеннической группе аккаунт на Blogspot был зарегистрирован в августе 2013 года. Пик регистрации этих аккаунтов пришелся на 2018 год, злоумышленники затем продолжили создание новых аккаунтов в 2019 и 2020 годах. По сей день на некоторых аккаунтах создаются мошеннические страницы, которые используют названия и дизайн множества брендов.

Отличительной чертой работы этой мошеннической группы является активное использование возможностей сервиса Blogspot в своих схемах.

Blogspot используется не только для регистрации фейковых страниц, имитирующих сайты известных брендов, но и для других целей: сервис выступает в качестве хранилища данных или своеобразного CDN (Content Delivery Network), с помощью которого хранится медиа-контент и код страниц. Такие данные в некоторых случаях загружаются на отдельные домены, благодаря чему мошенники экономят на услугах хостинга.

Blogspot также может выполнять функции сервиса для сокращения ссылок и использоваться для того, чтобы перенаправлять пользователей на мошеннические домены: поисковые системы считают переход по таким ссылкам безопасным и не отображают предупреждение о потенциально опасном сайте.

Саму же страницу на которой происходит редирект выявить довольно трудно, особенно рядовым пользователям, так как переход происходит мгновенно и пользователь банально не успевает увидеть факт редиректа.

Установить связи между элементами инфраструктуры мошеннической группы удалось достаточно легко: кроме одинаковых названий (больше половины (51,9%) профилей имели od.company в названии), зарегистрированные аккаунты активно используют одни и те же ссылки для распространения в Whatsapp, перелинковки друг на друга, а также одинаковые сервера и группы доменов. Вышеперечисленное указывает на то, что эти профили вероятнее всего принадлежат одной группе злоумышленников.

Ниже представлен высокоуровневый пример объединения исследуемых аккаунтов по источнику трафика, Google-статистике и связями между доменами.

Группа использует более 100 аккаунтов, и их количество постоянно растет: за первое полугодие 2021 года количество страниц, созданных этими аккаунтами, возросло более чем в два раза. Самые ранние аккаунты, относящиеся к группе злоумышленников, были зарегистрированы в 2013 г., что удивительно, поскольку чаще всего мошеннические страницы не работают дольше нескольких месяцев. Эта же группа активно работает на протяжении как минимум 6 лет.

В своей работе группа злоумышленников использует не только ресурсы Blogspot, но и множество других инструментов, в том числе рекламу в социальных сетях и рассылки в мессенджерах.