Nieuwe bevindingen van Infoblox laten zien dat meer dan 236.000 websites gebruik maken van sjablonen voor investeringszwendel die zijn gebouwd met behulp van een legitiem Chinees open-source, platformonafhankelijk applicatie-ontwikkelingsframework genaamd DCloud Uni-App.
De sjablonen ondersteunen nep-cryptocurrency-uitwisselingen, meertalige varkensslachtoperaties, WhatsApp-phishing-netwerken, nep-gokplatforms, sites voor het nabootsen van merken en crypto-portemonnee-aftrekkers. In totaal zijn er 236.493 verschillende tweede-niveaudomeinen geïdentificeerd door het DNS-bedreigingsinformatiebedrijf.
“De afgelopen twee jaar is er een dramatische toename geweest van oplichtingswebsites die het DCloud-framework gebruiken, en exploitanten van deze sites blijven complexe real-world plannen lanceren om slachtoffers te misleiden”, zei Infoblox in een uitgebreid rapport dat vorige week werd gepubliceerd.
Er wordt vastgesteld dat onbekende bedreigingsactoren DCloud-sjablonen voor investeringszwendel verkopen, hoewel er aanwijzingen zijn voor gecentraliseerd eigendom van een aanzienlijk deel van de door DCloud gebouwde investeringszwendelwebsites.
Dit is gebaseerd op dalingen in het aantal nieuwe domeinregistraties die zijn waargenomen op oplichtingswebsites op verschillende hosts, waardoor de mogelijkheid ontstaat dat een gecentraliseerde partij te maken krijgt met verstoring of gecoördineerde wijzigingen aanbrengt aan hun oplichtingssites voor DCloud-investeringen. Andere tekenen zijn onder meer specifieke technische vingerafdrukken, communicatiemethoden met slachtoffers en hostingbeslissingen.
Een van de geïdentificeerde domeinen is het beruchte RainbowEx-platform, een nep-cryptocurrency-uitwisseling die eind 2024 de krantenkoppen haalde vanwege het uitvoeren van een Ponzi-fraude die gevolgen had voor tienduizenden mensen die in San Pedro, Argentinië woonden. Later dat jaar werden zeven mensen die bij de operatie betrokken waren, gearresteerd door wetshandhavingsautoriteiten.
Hoewel het gebruik van DCloud op zichzelf geen indicatie is van kwaadwillige bedoelingen, zegt Infoblox dat het een aantal gemeenschappelijke kenmerken heeft: valse makelaarsinterfaces, aanwijzingen voor het aftappen van cryptocurrency-portemonnees, gokinterfaces met vervalste resultaten, winkelpuien met merkimitatie en bulletproof hosting (BPH).
De frauduleuze domeinen bestrijken elk continent, richten zich op sprekers van ten minste acht talen en doen zich voor als merken, variërend van grote aandelenbeurzen tot retailgiganten en berichtenplatforms, aldus het bedrijf. De frauduleuze operaties zijn sinds medio 2022 aan de gang. Uit de met DCloud-vingerafdrukken verkregen sites zijn twee verwante maar verschillende populaties naar voren gekomen:
- Sites met de basishandtekeningen van het DCloud Uni-App-framework die teruggaan tot 2021 en zowel legitieme Chinese bedrijven als kwaadwillige activiteiten omvatten
- Een specifieke subset voor beleggingszwendel die sinds medio 2022 actief is
“Het is contra-intuïtief dat de populatie van investeringszwendel groter is dan wat de eenvoudige vingerafdruk van het DCloud-framework alleen al onthult, omdat meer geavanceerde operators de standaard DCloud-steigers hebben verwijderd om op vingerafdrukken gebaseerde identificatie te omzeilen”, aldus Infoblox.
De tweede reeks DCloud-zwendelwebsites wordt beheerd door meerdere niet-gerelateerde operators, die een breed scala aan frauduleuze programma’s omvatten –
- Valse cryptocurrency-uitwisselingen en stortings- en handelsplatforms die bekende uitwisselingen nabootsen en gebruikers verleiden tot het doen van investeringen, waarbij fictieve handelsactiviteiten worden getoond totdat de slachtoffers proberen hun geld op te nemen
- Cryptocurrency wallet drainers die gebruikers verleiden hun portemonnee te verbinden door zich voor te doen als BNB Chain- of Tether-verificatiestromen
- Voorspellingsmarkten en goknabootsingen die voorspellingsmarkten in Polymarket-stijl imiteren, of nepcasino’s en loterijplatforms
- Phishing op WhatsApp- en berichtenplatform die tot doel hebben inloggegevens te achterhalen door zich voor te doen als WhatsApp’s Beveiligingshelpcentrum met behulp van lookalike-domeinen (bijv. “whats-zwp(.)vip” of “faq-whatsapp-center(.)com”)
- Generieke sjabloonphishing en verzameling van inloggegevens met eenvoudige inlog- en registratiepagina’s
“In de Verenigde Staten heeft hetzelfde draaiboek zich nu twee keer gemanifesteerd in algemeen bekende operaties: eerst in de LSSC-investeringszwendel voor het delen van scooters die vorig jaar uitmondde in een groot federaal en staatsfraudeonderzoek, en ten tweede in een oplichting met een fietsdeelinvestering die op dit moment actief slachtoffers rekruteert onder een in het Verenigd Koninkrijk geregistreerd bedrijfsfront met een echte Amerikaanse federale gelddienstenlicentie”, aldus het bedrijf.
De scooterinvesteringszwendel die is gebouwd met behulp van het Uni-App-framework wordt beheerd onder het merk Yuechi Sharing Technology Ltd. en richt zich voornamelijk op Australië, Nieuw-Zeeland en de VS. De front-end van Yuechi bevat een inlog- of registratieformulier, waarbij de laatste gebruikers vraagt hun telefoonnummer, sms-verificatiecode en een uitnodigingscode in te voeren die wordt gedeeld door een bestaande partner van het piramidespel.
“De uitnodigingscodepoort is gebruikelijk op websites met beleggingszwendel: een potentieel slachtoffer kan geen account aanmaken of het stortingsscherm bereiken zonder eerst te zijn gerekruteerd door een bestaande partner”, legt Infoblox uit. “Deze vereiste komt overeen met het feit dat de meeste operators proberen elk slachtoffer in een recruiter te veranderen, die vervolgens zal proberen zijn eigen vrienden, familie en collega’s te rekruteren om meer investeringen binnen te halen en de piramide uit te bouwen.”
De site bevat ook een klantenservicecomponent die slachtoffers doorverwijst naar een merkchat buiten het platform om problemen zoals registratiefouten, opnameblokkeringen en stortingsblokkeringen op te lossen.
Bovendien heeft Infoblox’ analyse van de door DCloud gebouwde infrastructuur voor investeringsfraude onthuld dat het merendeel van de domeinen wordt gehost op legitieme providers zoals Cloudflare, Alibaba Cloud, Tencent Cloud en Amazon Web Services. Ongeveer 6% van de zichtbare door DCloud gebouwde investeringszwendeldomeinen blijkt gebruik te maken van BPH-providers zoals CTG Server Limited (AS152194), dat eerder is gemarkeerd voor kwaadaardige cyberactiviteiten.
“Sites in de ontwijkende laag, waar operators de moeite hebben genomen om de handtekening van het raamwerk te verdoezelen, draaien op bulletproof hosting tegen ongeveer het dubbele van de snelheid van de vanilla-laag”, zei het bedrijf, waarbij de vanille-laag verwijst naar oplichtingssites die de standaard DCloud-framework-vingerafdruk bevatten, terwijl de ontwijkende laag bestaat uit sites die de vingerafdruk niet bevatten.
“De interpretatie is eenvoudig: operators die geavanceerd genoeg zijn om raamwerkvingerafdrukken te herkennen en te verwijderen, zijn ook operators die geavanceerd genoeg zijn om infrastructuurproviders op te sporen die zich tegen verwijderingsverzoeken verzetten. Deze twee gedragingen gaan vaak hand in hand. Omgekeerd maken de goedkoopste en minst geavanceerde operators, degenen die een sjabloon downloaden en deze in de huidige vorm implementeren, ook het meest waarschijnlijk gebruik van reguliere hosting, waar ze tegelijkertijd gemakkelijker te identificeren en gemakkelijker te verwijderen zijn.”
