- Специальный корреспондент
Соцсети и SEO стали оружием воров данных.
Киберпреступные группировки выстраивают целые инфраструктуры для распространения — вредоносных программ, которые пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей.
Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению.
Сами трафферы используют широкий спектр техник. Они создают (например, под видом онлайн-казино), продвигают вредоносные ссылки через YouTube, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов .
Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые для дополнительного заработка.
Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются , а логи с украденными данными выгружаются через . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики.
По исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний.
Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на .
Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от .
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Киберпреступные группировки выстраивают целые инфраструктуры для распространения — вредоносных программ, которые пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей.
Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению.
Сами трафферы используют широкий спектр техник. Они создают (например, под видом онлайн-казино), продвигают вредоносные ссылки через YouTube, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов .
Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые для дополнительного заработка.
Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются , а логи с украденными данными выгружаются через . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики.
По исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний.
Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на .
Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от .
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
