- 26,709
- 46
- 8 Ноя 2022
Разбираем устройство ловушки, скрытой за яркими кнопками.
Преступные группы всё чаще используют доверие к популярным платформам как часть мошеннической схемы. Новый отчёт CTM360 показывает , как Telegram Mini Apps превратились в удобную витрину для злоумышленников: жертва открывает мини-приложение через бота, видит знакомый бренд и даже не замечает, что попала в чужую инфраструктуру.
Специалисты CTM360 описали набор FEMITBOT, который помогает запускать массовые мошеннические кампании через Telegram . Фальшивые мини-приложения имитируют криптовалютные платформы, финансовые сервисы, ИИ-проекты, стриминговые сайты и майнинговые пулы. Среди брендов, под которые маскировались злоумышленники, названы BBC, Netflix, Binance, Youku, Bitget, OKX, MoonPay, NVIDIA, CoreWeave, Circle и другие.
Связать разные вредоносные кампании между собой помог повторяющийся ответ API с приветствием платформы FEMITBOT. CTM360 также нашла устойчивую связку между Telegram-ботами и фишинговыми доменами. Бот играет роль входной точки, а сайт обрабатывает авторизацию, показывает интерфейс, принимает платежи и собирает данные. Такая схема позволяет быстро менять оформление под нужный бренд, не перестраивая всю систему.
По данным отчёта, инфраструктура включает более 60 активных доменов, свыше 146 Telegram-ботов, больше 15 шаблонов, не менее 25 JavaScript-сборок, более 100 пикселей отслеживания и свыше 30 брендов для подмены. В основе фронтенда используется Vue.js, Telegram WebApp SDK, набор визуальных «скинов», поддержка более 22 языков и разные цветовые темы.
Сценарий атаки строится вокруг доверия и постепенного вовлечения. Потенциальных жертв приводят через рекламу <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span> или приглашения в Telegram с обещаниями пассивного дохода. После запуска бота мини-приложение получает данные Telegram WebApp, автоматически создаёт сессию и показывает личный кабинет с фальшивым заработком, таймерами, бонусами и ограниченными предложениями. Для вывода якобы накопленных средств пользователя подталкивают к первому взносу или к приглашению новых участников.
Отдельно CTM360 указывает на маркетинговую дисциплину операторов FEMITBOT. Кампании используют пиксели Meta и TikTok, чтобы отслеживать регистрации, первые депозиты, повторные платежи и другие действия. Такая аналитика помогает преступникам менять приманки и перераспределять трафик между источниками.
В некоторых случаях сайты предлагали APK-файлы для установки вручную. Конфигурация позволяла раздавать файл напрямую, открывать страницу во встроенном браузере или показывать PWA-подсказку для добавления на главный экран. Названия файлов подбирались так, чтобы напоминать легитимные приложения или не вызывать подозрений.
В таких схемах опасность создаёт не только поддельный сайт, но и привычная среда вокруг него. Чем меньше шагов отделяет пользователя от обещанной выгоды, тем строже нужно проверять источник, домен и любые просьбы внести деньги или установить приложение вручную.
Преступные группы всё чаще используют доверие к популярным платформам как часть мошеннической схемы. Новый отчёт CTM360 показывает , как Telegram Mini Apps превратились в удобную витрину для злоумышленников: жертва открывает мини-приложение через бота, видит знакомый бренд и даже не замечает, что попала в чужую инфраструктуру.
Специалисты CTM360 описали набор FEMITBOT, который помогает запускать массовые мошеннические кампании через Telegram . Фальшивые мини-приложения имитируют криптовалютные платформы, финансовые сервисы, ИИ-проекты, стриминговые сайты и майнинговые пулы. Среди брендов, под которые маскировались злоумышленники, названы BBC, Netflix, Binance, Youku, Bitget, OKX, MoonPay, NVIDIA, CoreWeave, Circle и другие.
Связать разные вредоносные кампании между собой помог повторяющийся ответ API с приветствием платформы FEMITBOT. CTM360 также нашла устойчивую связку между Telegram-ботами и фишинговыми доменами. Бот играет роль входной точки, а сайт обрабатывает авторизацию, показывает интерфейс, принимает платежи и собирает данные. Такая схема позволяет быстро менять оформление под нужный бренд, не перестраивая всю систему.
По данным отчёта, инфраструктура включает более 60 активных доменов, свыше 146 Telegram-ботов, больше 15 шаблонов, не менее 25 JavaScript-сборок, более 100 пикселей отслеживания и свыше 30 брендов для подмены. В основе фронтенда используется Vue.js, Telegram WebApp SDK, набор визуальных «скинов», поддержка более 22 языков и разные цветовые темы.
Сценарий атаки строится вокруг доверия и постепенного вовлечения. Потенциальных жертв приводят через рекламу <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span> или приглашения в Telegram с обещаниями пассивного дохода. После запуска бота мини-приложение получает данные Telegram WebApp, автоматически создаёт сессию и показывает личный кабинет с фальшивым заработком, таймерами, бонусами и ограниченными предложениями. Для вывода якобы накопленных средств пользователя подталкивают к первому взносу или к приглашению новых участников.
Отдельно CTM360 указывает на маркетинговую дисциплину операторов FEMITBOT. Кампании используют пиксели Meta и TikTok, чтобы отслеживать регистрации, первые депозиты, повторные платежи и другие действия. Такая аналитика помогает преступникам менять приманки и перераспределять трафик между источниками.
В некоторых случаях сайты предлагали APK-файлы для установки вручную. Конфигурация позволяла раздавать файл напрямую, открывать страницу во встроенном браузере или показывать PWA-подсказку для добавления на главный экран. Названия файлов подбирались так, чтобы напоминать легитимные приложения или не вызывать подозрений.
В таких схемах опасность создаёт не только поддельный сайт, но и привычная среда вокруг него. Чем меньше шагов отделяет пользователя от обещанной выгоды, тем строже нужно проверять источник, домен и любые просьбы внести деньги или установить приложение вручную.
- Источник новости
- www.securitylab.ru
