Электронное письмо побудило меня расследовать одну из крупнейших ФИШИНГ-кампаний на данный момент!
02.05.2026
Автор: Хуан Мэтьюз Ребелло Сантос
№ 1. РЕЗЮМЕ
В этом техническом отчете документируется судебно-медицинское расследование, проведенное мной после получения мошеннического электронного письма, содержащего предполагаемое уведомление о выигрыше и ожидаемый финансовый депозит. Анализ выявил сложную инфраструктуру киберпреступников, проводящую кампании по фишингу, вредоносному ПО и партнерскому мошенничеству в международном масштабе.
В ходе расследования я выявил цепочку редиректов, состоящую из:
- электронный спам с использованием социальной инженерии;
- злоупотребление инфраструктурой Cloudflare Pages;
- приверженность государственных служащих Демократической Республики Конго;
- Инфраструктура управления и контроля (C2);
- использование алгоритма генерации доменов (DGA);
- Wildcard SSL-сертификаты;
- и монетизация через партнерские программы Norton/Gen Digital через Impact Radius.
Операция демонстрирует высокий уровень технического профессионализма, уклонение от антианализа и автоматизацию вредоносных кампаний.
№ 2. ПРОИСХОЖДЕНИЕ РАССЛЕДОВАНИЯ
Расследование началось после того, как я получил явно поддельное письмо, отправленное на адрес:
[email protected]
Тема сообщения была:
Призовой код
В содержании электронного письма смешался текст на арабском языке с сообщениями финансовой срочности — стратегия, используемая для предотвращения спам-фильтров и повышения видимости легитимности.
Идентифицированный отрывок:
Спенсер Миссисипи в фильме "Страна"
يرجى الاحتفاظ بالكود للمراجعة عند السحب
Примерный перевод:
«Спасибо за участие в конкурсе.
Пожалуйста, сохраните код для проверки во время розыгрыша».
В сообщении также содержался предполагаемый промокод:
Код: 9132289937520370
Однако настоящей целью электронного письма было заставить пользователя нажать на вредоносную ссылку, вставленную в середину сообщения:
⚠️ Срочно: ваш депозит в размере 3 639 долларов США заблокирован. Подтвердите сейчас:
https://obs.regideso.cd/?8nqrpm
В контенте также отображался мой адрес электронной почты, чтобы добавить ощущение персонализации и легитимности:
[email protected]
Анализ показал, что электронное письмо было создано таким образом, чтобы сочетать в себе:
- фальшивые награды;
- финансовая срочность;
- иностранный язык;
- социальная инженерия;
- и частичное сокрытие мошенничества.
Целью было заставить жертву немедленно щелкнуть мышью.
3. ВРЕДОНОСНАЯ ЦЕПОЧКА ПЕРЕНАПРАВЛЕНИЯ
При переходе по ссылке:
https://obs.regideso.cd/?8nqrpm
Я определил, что домен функционировал только как промежуточный ретранслятор в рамках операции.
Полный поток, наблюдаемый в ходе расследования, составил:
Почтовый спам
↓
obs.regideso.cd
↓
белье-причал-river.pages.dev
↓
Случайные поддомены yandehyto.com
↓
Конечные домены вредоносного ПО/фишинга
Среди конечных пунктов назначения были определены:
pelnoriva.shopbaleiddiste.comphidatharacce.com
Эта архитектура демонстрирует профессиональную цепочку запутывания инфраструктуры, затрудняющую отслеживание, автоматическую блокировку и судебный анализ.
№ 4. АНАЛИЗ СОВЕРШЕННЫХ РЕЛЕ
Домен:
obs.regideso.cd
разрешено по IP:
161.35.30.54
размещен в инфраструктуре DigitalOcean.
Судя по всему, актив принадлежал государственной компании водоснабжения Демократической Республики Конго:
- РЕГИДЕСО С.А.
В ходе анализа веб-среды я выявил:
- несанкционированные файлы PHP;
- скрипты, выполняющие роль редиректоров;
- Экспозиция окружения Laravel;
- бэкэнд, работающий в режиме отладки.
Наблюдаемые файлы:
info.phpindex.php
Также были раскрыты абсолютные внутренние пути сервера:
C:\api-factures\api-factures\
Раскрытие этой информации подтверждает серьезные недостатки защиты и небезопасную конфигурацию фреймворка Laravel.
№ 5. ИНФРАСТРУКТУРА КОМАНДОВАНИЯ И УПРАВЛЕНИЯ (C2)
Ядро операции было централизовано на сервере, работающем как:
- центральный редиректор;
- трекер кликов;
- шлюз монетизации;
- и контроллер кампании.
Определена конечная точка:
/click.php
№ 6. ТЕХНИКИ УКЛОНЕНИЯ
6.1 Маскировка против анализа
Я определил, что на сервере реализована активная маскировка против:
- исследователи;
- автоматизированные сканеры;
- IP-адреса центров обработки данных;
- такие инструменты, как «curl» и «Nmap».
Когда он обнаружил подозрительную среду, сервер ответил:
HTTP/1.1 302Найден
Местоположение: http://yahoo.com/
или:
Местоположение: http://google.com/
Этот метод значительно снижает уязвимость вредоносной целевой страницы для систем безопасности.
6.2 DGA и DNS с подстановочными знаками
В ходе расследования я выявил широкое использование Wildcard DNS в домене:
yandehyto.com
Любой случайный поддомен правильно разрешен серверу C2.
Выявленные примеры:
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
Этот метод позволяет осуществлять бесконечную ротацию URL-адресов без необходимости регистрации новых доменов.
6.3 SSL-сертификаты с подстановочными знаками
Оператор использовал действительные сертификаты Wildcard, выданные Let's Encrypt:
*.yandehyto.com
Это позволило использовать действительный HTTPS для всех динамически генерируемых поддоменов, что повысило доверие к мошенничеству.
7. АНАЛИЗ ПОЛЕЗНОЙ НАГРУЗКИ
После редиректов жертва была перенаправлена на страницы, расположенные по адресу:
pelnoriva.shopbaleiddiste.comphidatharacce.com
На этих страницах использовался вредоносный JavaScript, имитирующий интерфейс:
- Полная защита McAfee
Код содержал такие функции, как:
start_circleProgress()
которые имитировали поддельные антивирусные проверки и отображали несуществующие угрозы:
Win32/Hoax.Renos.HXТроян IRC/Backdor.Sd.FRV
Я также определил:
- использование FullScreen API;
- блокировка навигации;
- захват фокуса табуляции;
- перехват
onbeforeunload.
Целью было оказать психологическое давление, чтобы побудить жертву немедленно приобрести антивирус.
№ 8. ПАРТНЕРСКОЕ МОШЕННИЧЕСТВО
Окончательная монетизация произошла за счет перенаправления на законные страницы с:
НортонЛайфЛокк Поколение цифровых технологий
Кампания злоупотребляла партнерской платформой:
- Радиус удара
Найдены идентификаторы:
Идентификатор партнера: 3076190
Идентификатор кампании: 4405
Операционная модель превратила страх, вызванный пугающими программами, в финансовые комиссионные.
№ 9. СУДЕБНО-ЭКСПЕРТИЧЕСКИЕ ДОКАЗАТЕЛЬСТВА
HTTP-перенаправление
HTTP/1.1 302 найдено
Сервер: nginx/1.28.0
Дата: пятница, 1 мая 2026 г., 20:12:37 по Гринвичу
Местоположение: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...
Обнаружение маскировки:
[Сработало обнаружение] -> Перенаправление на http://yahoo.com/
SSL-сертификат
глубина=0 CN = yandehyto.com
X509v3 Альтернативное имя субъекта:
DNS:*.yandehyto.com
DNS: yandehyto.com
Эмитент:
С = США
O = Давайте зашифруем
CN = E7
№ 10. ПОКАЗАТЕЛИ ПРИВЕРЖЕННОСТИ (ИОК)
IP-адреса
161.35.30.54
Домены
smilingtooth.com.saobs.regideso.cdlinen-wharf-river.pages.devyandehyto.combaleiddiste.comphidatharacce.compelnoriva.shoppelnoriva.pelnoriva.shop
Субдомены DGA
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
Идентификаторы партнера
Идентификатор партнера «Радиус воздействия»: 3076190
Идентификатор кампании: 4405
№ 11. ЗАКЛЮЧЕНИЕ
На основании всего проведенного расследования я пришел к выводу, что анализируемая кампания представляет собой высокопрофессиональную операцию киберпреступников, использующую:
- фишинг;
- пугающие программы;
- маскировка;
- ДГА;
- злоупотребление законной инфраструктурой;
- партнерское мошенничество;
- и скомпрометированные сторонние серверы.
Операция демонстрирует сильные технические возможности в:
- уклонение от антианализа;
- социальная инженерия;
- мошенническая монетизация;
- автоматизация кампаний;
- и сокрытие инфраструктуры.
12. НАДЕЖНЫЕ ССЫЛКИ И АНАЛИЗ URL-адресов
Ниже приведены ссылки, подтверждающие анализ доменов и URL-адресов на платформах анализа угроз.
Всего вирусов
- https://www.virustotal.com/gui/domain/obs.regideso.cd
- [https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
- https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
- https://www.virustotal.com/gui/domain/yandehyto.com
- https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
- https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
- https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
- https://www.virustotal.com/gui/domain/baleiddiste.com
- https://www.virustotal.com/gui/domain/phidatharacce.com
- https://www.virustotal.com/gui/domain/pelnoriva.shop
- https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop
AlienVault OTX
Злоупотребление IPDB
Ценсис
- https://search.censys.io/search?resource=hosts&q=baleiddiste.com
- https://search.censys.io/search?resource=hosts&q=linen-wharf-river.pages.dev
- https://search.censys.io/search?resource=hosts&q=pelnoriva.pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=phidatharacce.com
- https://search.censys.io/search?resource=hosts&q=q5tzrz.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=sj9k9f.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=smilingtooth.com.sa
- https://search.censys.io/search?resource=hosts&q=whonou.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=yandehyto.com
SecurityTrails
- https://securitytrails.com/domain/baleiddiste.com
- https://securitytrails.com/domain/linen-wharf-river.pages.dev
- https://securitytrails.com/domain/pelnoriva.pelnoriva.shop
- https://securitytrails.com/domain/pelnoriva.shop
- https://securitytrails.com/domain/phidatharacce.com
- https://securitytrails.com/domain/q5tzrz.yandehyto.com
- https://securitytrails.com/domain/sj9k9f.yandehyto.com
- https://securitytrails.com/domain/smilingtooth.com.sa
- https://securitytrails.com/domain/whonou.yandehyto.com
- https://securitytrails.com/domain/yandehyto.com
urlscan.io
- https://urlscan.io/search/#baleiddiste.com
- https://urlscan.io/search/#linen-wharf-river.pages.dev
- https://urlscan.io/search/#pelnoriva.pelnoriva.shop
- https://urlscan.io/search/#pelnoriva.shop
- https://urlscan.io/search/#phidatharacce.com
- https://urlscan.io/search/#q5tzrz.yandehyto.com
- https://urlscan.io/search/#sj9k9f.yandehyto.com
- https://urlscan.io/search/#smilingtooth.com.sa
- https://urlscan.io/search/#whonou.yandehyto.com
- https://urlscan.io/search/#yandehyto.com
Шодан
- https://www.shodan.io/search?query=baleiddiste.com
- https://www.shodan.io/search?query=linen-wharf-river.pages.dev
- https://www.shodan.io/search?query=pelnoriva.pelnoriva.shop
- https://www.shodan.io/search?query=pelnoriva.shop
- https://www.shodan.io/search?query=phidatharacce.com
- https://www.shodan.io/search?query=q5tzrz.yandehyto.com
- https://www.shodan.io/search?query=sj9k9f.yandehyto.com
- https://www.shodan.io/search?query=smilingtooth.com.sa
- https://www.shodan.io/search?query=whonou.yandehyto.com
- https://www.shodan.io/search?query=yandehyto.com
Примечание. О вредоносной деятельности и признаках компрометации уже сообщалось в соответствующие органы.