С виду обычная игра, а внутри – подпольное казино. Рассказываем, как система Keitaro ловко подменяет сайты
NewsMakerЗлоумышленники научились менять содержимое страниц в окне браузера без изменения адреса сайта.
Инструмент для отслеживания рекламы, который задумывался как обычный маркетинговый помощник, превратился в удобное оружие для киберпреступников. Речь о Keitaro Tracker – системе, через которую злоумышленники массово управляют трафиком, скрывают вредоносные сайты и обманывают пользователей.
Специалисты Infoblox и Confiant завершили серию разборов злоупотреблений Keitaro и посмотрели на проблему шире – не через отдельные атаки, а через всю экосистему. Картина получилась показательная: сервис используют в спаме, вредоносной рекламе и мошеннических схемах, причём в довольно промышленных масштабах.
За четыре месяца – с октября 2025 года по январь 2026-го – зафиксировали около 226 тысяч DNS-запросов, связанных с инфраструктурой Keitaro, и примерно 13,5 тысячи доменов. За тот же период злоумышленники зарегистрировали более 8 тысяч новых доменов под такие операции. Активность часто совпадала с акциями у регистраторов: например, в октябре и ноябре участники схем массово скупали дешёвые домены во время распродаж.
Keitaro используют как систему распределения трафика. Платформа позволяет решать, куда отправить пользователя, исходя из множества параметров – страны, устройства, браузера и даже языка. В одном из случаев оператор направлял «ненужных» посетителей на безобидный сайт мобильной игры, а целевую аудиторию – на онлайн-казино. Чаще всего в выборку попадали пользователи Android в Германии и владельцы компьютеров с Windows в США и Швейцарии.
Инструмент для отслеживания рекламы, который задумывался как обычный маркетинговый помощник, превратился в удобное оружие для киберпреступников. Речь о Keitaro Tracker – системе, через которую злоумышленники массово управляют трафиком, скрывают вредоносные сайты и обманывают пользователей.
Специалисты Infoblox и Confiant завершили серию разборов злоупотреблений Keitaro и посмотрели на проблему шире – не через отдельные атаки, а через всю экосистему. Картина получилась показательная: сервис используют в спаме, вредоносной рекламе и мошеннических схемах, причём в довольно промышленных масштабах.
За четыре месяца – с октября 2025 года по январь 2026-го – зафиксировали около 226 тысяч DNS-запросов, связанных с инфраструктурой Keitaro, и примерно 13,5 тысячи доменов. За тот же период злоумышленники зарегистрировали более 8 тысяч новых доменов под такие операции. Активность часто совпадала с акциями у регистраторов: например, в октябре и ноябре участники схем массово скупали дешёвые домены во время распродаж.
Keitaro используют как систему распределения трафика. Платформа позволяет решать, куда отправить пользователя, исходя из множества параметров – страны, устройства, браузера и даже языка. В одном из случаев оператор направлял «ненужных» посетителей на безобидный сайт мобильной игры, а целевую аудиторию – на онлайн-казино. Чаще всего в выборку попадали пользователи Android в Германии и владельцы компьютеров с Windows в США и Швейцарии.