Kripto Dolandırıcılığı, Kimlik Avı ve Cüzdan Süzme Amaçlı 236.000 DCloud Uni-Uygulama Sitesi Dünya Geneli

Kripto Dolandırıcılığı, Kimlik Avı ve Cüzdan Süzme Amaçlı 236.000 DCloud Uni-Uygulama Sitesi

Infoblox tarafından ortaya çıkarılan yeni bulgular, 236.000'den fazla web sitesinin, DCloud Uni-App adı verilen yasal bir Çin açık kaynaklı, platforml...

Infoblox tarafından ortaya çıkarılan yeni bulgular, 236.000'den fazla web sitesinin, DCloud Uni-App adı verilen yasal bir Çin açık kaynaklı, platformlar arası uygulama geliştirme çerçevesi kullanılarak oluşturulan yatırım dolandırıcılığı şablonlarını kullandığını gösteriyor.

Şablonlar, sahte kripto para borsalarına, çok dilli domuz kesme operasyonlarına, WhatsApp kimlik avı ağlarına, sahte kumar platformlarına, marka kimliğine bürünme sitelerine ve kripto cüzdanı tüketenlere güç veriyor. DNS tehdit istihbarat şirketi tarafından toplam 236.493 farklı ikinci düzey alan adı belirlendi.

Infoblox, geçen hafta yayınlanan kapsamlı bir raporda, "Son iki yılda, DCloud çerçevesini kullanan dolandırıcılık web sitelerinde dramatik bir artış oldu ve bu sitelerin operatörleri, kurbanları kandırmak için karmaşık gerçek dünya planları başlatmaya devam ediyor." dedi.

Bilinmeyen tehdit aktörlerinin DCloud yatırım dolandırıcılığı şablonları sattığı değerlendiriliyor, ancak DCloud tarafından oluşturulan yatırım dolandırıcılığı web sitelerinin önemli bir kısmında merkezi sahiplik olduğuna dair göstergeler var.

Bu, çeşitli ana makinelerdeki dolandırıcılık web sitelerinde gözlemlenen yeni alan adı kayıtlarındaki düşüşlere dayanmaktadır; bu durum, merkezi bir tarafın ya kesintiyle karşı karşıya olması ya da DCloud yatırım dolandırıcılığı sitelerinde koordineli değişiklikler yapması olasılığını artırmaktadır. Diğer işaretler arasında belirli teknik parmak izleri, mağdurlarla iletişim yöntemleri ve barındırma kararları yer alır.

Tanımlanan alanlar arasında, Arjantin'in San Pedro kentinde yaşayan on binlerce insanı etkileyen bir saadet zinciri işlettiği için 2024'ün sonlarında manşetlere çıkan sahte bir kripto para borsası olan meşhur RainbowEx platformu da yer alıyor. Aynı yılın ilerleyen saatlerinde, operasyonla bağlantılı yedi kişi kolluk kuvvetleri tarafından tutuklandı.

DCloud'un kullanımı kötü niyetli niyetin bir göstergesi olmasa da Infoblox, aralarında bazı ortak özelliklerin bulunduğunu söyledi: sahte komisyonculuk arayüzleri, kripto para birimi cüzdan boşaltıcı istemleri, hileli sonuçları olan kumar arayüzleri, marka kimliğine bürünme vitrinleri ve kurşun geçirmez barındırma (BPH).

Şirket, hileli alan adlarının her kıtaya yayıldığını, en az sekiz dil konuşanları hedef aldığını ve büyük borsalardan perakende devlerine ve mesajlaşma platformlarına kadar çeşitli markalar gibi göründüğünü söyledi. Dolandırıcılık operasyonları 2022 yılının ortasından bu yana devam ediyor. DCloud'un parmak iziyle izlenen sitelerinden birbiriyle ilişkili ancak farklı iki popülasyon ortaya çıktı:

DCloud Uni-App çerçevesinin 2021 yılına kadar uzanan temel imzalarını taşıyan ve hem meşru Çin işletmelerini hem de kötü amaçlı operasyonları içeren siteler

2022'nin ortasından beri aktif olan, yatırım dolandırıcılığına özel bir alt grup

Infoblox, "Alışılmışın dışında bir şekilde, yatırım dolandırıcılığı popülasyonu, basit DCloud çerçevesi parmak izinin tek başına ortaya çıkardığından daha büyüktür, çünkü daha karmaşık operatörler, parmak izi tabanlı tanımlamadan kaçınmak için varsayılan DCloud iskelesini sökmüştür" dedi.

İkinci grup DCloud dolandırıcılığı web siteleri, çok çeşitli dolandırıcılık planlarından oluşan, birden fazla ilgisiz operatör tarafından çalıştırılmaktadır.

Tanınmış borsaları taklit eden ve kullanıcıları yatırım yapmaları için kandıran, kurbanlar fonlarını çekmeye çalışana kadar hayali ticaret faaliyetleri sergileyen sahte kripto para borsaları ve para yatırma ve ticaret platformları

BNB Zinciri veya Tether doğrulama akışları gibi görünerek kullanıcıları cüzdanlarını bağlamaya teşvik eden kripto para cüzdanı tüketen araçlar

Polymarket tarzı tahmin pazarlarını veya sahte kumarhaneleri ve piyango platformlarını taklit eden tahmin pazarı ve kumar taklitleri

Benzer etki alanları (ör. "whats-zwp[.]vip" veya "faq-whatsapp-center[.]com") kullanarak WhatsApp Güvenlik Yardım Merkezi'nin kimliğine bürünerek kimlik bilgilerini ele geçirmeyi amaçlayan WhatsApp ve mesajlaşma platformu kimlik avı saldırıları

Basit oturum açma ve kayıt sayfalarını içeren genel şablon kimlik avı ve kimlik bilgileri koleksiyonu

"Amerika Birleşik Devletleri'nde, aynı taktik şu anda kamuya açık operasyonlarda iki kez ortaya çıktı: ilki, büyük bir federal ve eyalet dolandırıcılığı yatırımına dönüşen LSSC scooter paylaşımı yatırım dolandırıcılığıydı.

Şirket, bu olayın geçen yıl gerçekleştiğini ve ikincisinin, şu anda gerçek bir ABD federal para hizmetleri lisansına sahip, Birleşik Krallık'ta kayıtlı bir kurumsal paravan altında aktif olarak kurbanları toplayan bisiklet paylaşımı yatırım temalı dolandırıcılık olduğunu belirtti.

Uni-App çerçevesi kullanılarak oluşturulan scooter yatırım dolandırıcılığı, Yuechi Sharing Technology Ltd. markası altında yürütülüyor ve öncelikli olarak Avustralya, Yeni Zelanda ve ABD'yi hedefliyor. Yuechi'nin ön ucunda bir oturum açma veya kayıt formu bulunuyor; bu formda kullanıcılardan telefon numaralarını, SMS doğrulama kodunu ve piramit planının mevcut bir bağlı kuruluşu tarafından paylaşılan bir davet kodunu girmeleri isteniyor.

Infoblox, "Davet kodu kapısı, yatırım dolandırıcılığı web sitelerinde yaygındır: olası bir kurban, mevcut bir bağlı kuruluş tarafından işe alınmadan bir hesap oluşturamaz veya para yatırma ekranına ulaşamaz" diye açıkladı. "Bu gereklilik, çoğu operatörün her kurbanı, daha sonra daha fazla yatırım yapmak ve piramidi oluşturmak için kendi arkadaşlarını, ailelerini ve iş arkadaşlarını işe almaya çalışacak bir işe alım görevlisine dönüştürmeye çalıştığı gerçeğiyle örtüşüyor."

Site ayrıca kayıt hataları, para çekme blokajları ve para yatırma blokeleri gibi sorunları ele almak için kurbanları platform dışı markalı bir sohbete yönlendiren bir müşteri hizmetleri bileşeni de içeriyor.

Dahası, Infoblox'un DCloud tarafından oluşturulan yatırım dolandırıcılığı altyapısı analizi, alan adlarının çoğunun Cloudflare, Alibaba Cloud, Tencent Cloud ve Amazon Web Services gibi meşru sağlayıcılarda barındırıldığını ortaya çıkardı. DCloud tarafından oluşturulan görünür yatırım dolandırıcılığı alan adlarının yaklaşık %6'sının, daha önce kötü niyetli siber faaliyetler nedeniyle işaretlenen CTG Server Limited (AS152194) gibi BPH sağlayıcılarından yararlandığı tespit edildi.

Şirket, "Operatörlerin çerçeve imzasını gizleme zahmetine katlandığı kaçınılmaz katmandaki siteler, kurşun geçirmez barındırmada vanilya katmanının kabaca iki katı hızda çalışıyor" dedi; vanilya katmanı, varsayılan DCloud çerçeve parmak izini taşıyan dolandırıcılık sitelerini ifade ederken, kaçınma katmanı parmak izini taşımayan sitelerden oluşuyor.

"Yorum basit: Çerçeve parmak izlerini tanıyacak ve çıkaracak kadar gelişmiş operatörler, aynı zamanda yayından kaldırma taleplerine direnen altyapı sağlayıcılarını arayacak kadar gelişmiş operatörlerdir. İki davranış el ele gitme eğilimindedir. Bunun tersine, bir şablonu indirip onu olduğu gibi dağıtan en ucuz ve en az gelişmiş operatörler, aynı zamanda tespit edilmesinin ve kaldırılmasının daha kolay olduğu ana akım barındırmayı kullanma olasılığı en yüksek olanlardır."

Paylaş: