Дипфейки, фальшивые бренды и обман пенсионеров: легальный трекер Keitaro стал главным инструментом мошенников
NewsMakerИсследователи нашли ядро глобальной преступной сети в совершенно законном софте.
Keitaro давно используют как обычный рекламный трекер , но за последние годы платформа прочно обосновалась и в криминальной инфраструктуре. Изначально инструмент создавали для маркетологов: система помогает направлять трафик, считать конверсии и гибко распределять посетителей по устройствам, географии, IP-адресам и источникам перехода. Проблема в том, что такой же набор функций идеально подходит и для мошеннических схем. Если нужно скрыть реальную цепочку перенаправлений, показать проверяющему безобидную страницу, а жертву отправить на совсем другой сайт, трекер решает задачу почти без доработок.
Исследователи из Confiant и Infoblox решили посмотреть на злоупотребление Keitaro не по отдельным инцидентам, а как на цельную экосистему. Для такого анализа у компаний оказались разные, но хорошо дополняющие друг друга источники. Confiant видит рекламную цепочку с клиентской стороны: креативы, редиректы , клоакинг и момент, когда вредоносная реклама действительно доходит до экрана пользователя. Infoblox, в свою очередь, наблюдает за DNS-уровнем: регистрацией доменов, устройством инфраструктуры, жизненным циклом кампаний и тем, как угрозы проходят через спам, взломанные сайты и массовые веб-сканирования. Вместе такой обзор позволяет проследить не только сам обман, но и то, как он собирается, маскируется и масштабируется.
Аналитики изучили данные за 4 месяца, начиная с 1 октября 2025 года, и получили картину устойчивой преступной системы, которая работает в больших объемах и при этом почти не прячется. За время наблюдения через такую инфраструктуру прошли 15 500 вредоносных доменов. Около 9 000 адресов, по оценке исследователей, зарегистрировали специально под такие операции. Трафик на эти сайты шел одновременно из программматик-рекламы, спама, соцсетей и взломанных веб-ресурсов. Во всех случаях цепочка сходилась на инстансах Keitaro, которые умели показывать «чистую» страницу всем, кто походил на модератора, исследователя или автоматическую систему проверки.
Главным типом злоупотреблений оказались инвестиционные мошеннические схемы. В разных кампаниях повторялась почти одна и та же конструкция: автоматически сгенерированные домены, однотипные веб-формы для сбора контактных данных и поддельные новости или фальшивые endorsements, которые должны были внушить доверие. Внешне такие страницы часто копируют привычную структуру медиа-сайтов или рекламных публикаций, а внутри сводятся к старой задаче: заставить жертву оставить номер телефона, почту или данные для дальнейшего контакта.
Keitaro давно используют как обычный рекламный трекер , но за последние годы платформа прочно обосновалась и в криминальной инфраструктуре. Изначально инструмент создавали для маркетологов: система помогает направлять трафик, считать конверсии и гибко распределять посетителей по устройствам, географии, IP-адресам и источникам перехода. Проблема в том, что такой же набор функций идеально подходит и для мошеннических схем. Если нужно скрыть реальную цепочку перенаправлений, показать проверяющему безобидную страницу, а жертву отправить на совсем другой сайт, трекер решает задачу почти без доработок.
Исследователи из Confiant и Infoblox решили посмотреть на злоупотребление Keitaro не по отдельным инцидентам, а как на цельную экосистему. Для такого анализа у компаний оказались разные, но хорошо дополняющие друг друга источники. Confiant видит рекламную цепочку с клиентской стороны: креативы, редиректы , клоакинг и момент, когда вредоносная реклама действительно доходит до экрана пользователя. Infoblox, в свою очередь, наблюдает за DNS-уровнем: регистрацией доменов, устройством инфраструктуры, жизненным циклом кампаний и тем, как угрозы проходят через спам, взломанные сайты и массовые веб-сканирования. Вместе такой обзор позволяет проследить не только сам обман, но и то, как он собирается, маскируется и масштабируется.
Аналитики изучили данные за 4 месяца, начиная с 1 октября 2025 года, и получили картину устойчивой преступной системы, которая работает в больших объемах и при этом почти не прячется. За время наблюдения через такую инфраструктуру прошли 15 500 вредоносных доменов. Около 9 000 адресов, по оценке исследователей, зарегистрировали специально под такие операции. Трафик на эти сайты шел одновременно из программматик-рекламы, спама, соцсетей и взломанных веб-ресурсов. Во всех случаях цепочка сходилась на инстансах Keitaro, которые умели показывать «чистую» страницу всем, кто походил на модератора, исследователя или автоматическую систему проверки.
Главным типом злоупотреблений оказались инвестиционные мошеннические схемы. В разных кампаниях повторялась почти одна и та же конструкция: автоматически сгенерированные домены, однотипные веб-формы для сбора контактных данных и поддельные новости или фальшивые endorsements, которые должны были внушить доверие. Внешне такие страницы часто копируют привычную структуру медиа-сайтов или рекламных публикаций, а внутри сводятся к старой задаче: заставить жертву оставить номер телефона, почту или данные для дальнейшего контакта.