Chiński framework Uni-App napędza ponad 200 tysięcy stron oszustw inwestycyjnych - Security Bez Tabu

Chiński framework Uni-App napędza ponad 200 tysięcy stron oszustw inwestycyjnych

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują legalne narzędzia programistyczne do budowy rozproszonej infrastruktury oszustw. Najnowsze ustalenia wskazują, że chiński framework Uni-App został użyty do tworzenia szablonów stron wspierających masowe kampanie fraudowe, obejmujące fałszywe platformy inwestycyjne, serwisy kryptowalutowe, witryny phishingowe oraz strony podszywające się pod znane marki.

Sam framework nie jest złośliwy. Problem polega na tym, że jego możliwości wieloplatformowe i łatwość wdrażania zostały wykorzystane przez operatorów oszustw do szybkiego skalowania kampanii i uruchamiania kolejnych kopii stron pod nowymi domenami.

W skrócie

Badacze zidentyfikowali ponad 236 tysięcy domen drugiego poziomu powiązanych z ekosystemem oszustw wykorzystującym szablony oparte na Uni-App. Aktywność była obserwowana od połowy 2022 roku, a wyraźne przyspieszenie liczby nowych witryn nastąpiło od końca 2024 roku.

  • ponad 236 tysięcy domen powiązanych z infrastrukturą fraudową,
  • wzrost aktywności od końca 2024 roku,
  • w szczycie nawet około 15 tysięcy nowych stron miesięcznie,
  • wykorzystanie tych samych komponentów do oszustw inwestycyjnych, kryptowalutowych i phishingowych.

Kontekst / historia

Uni-App to legalny framework wieloplatformowy, szeroko używany do tworzenia aplikacji i stron mobilnych na bazie jednego kodu. Dzięki temu narzędzie sprawdza się w legalnych projektach komercyjnych, ale jednocześnie może zostać łatwo nadużyte przez aktorów zagrożeń.

Z ustaleń badaczy wynika, że powiązane domeny zaczęły pojawiać się już w 2022 roku. Z czasem infrastruktura rozrosła się do setek tysięcy witryn, obejmując nie tylko klasyczne fałszywe platformy inwestycyjne, ale także strony hazardowe, phishing komunikatorowy, wyłudzanie danych logowania oraz schematy typu pig butchering.

To pokazuje, że nie chodzi o pojedynczą kampanię, lecz o rozbudowany ekosystem przestępczy. W takim modelu gotowe komponenty frontendu mogą być sprzedawane lub udostępniane różnym operatorom, którzy prowadzą własne działania na wspólnej bazie technologicznej.

Analiza techniczna

Najważniejszym elementem technicznym jest szablonizacja i wielokrotne użycie tych samych komponentów. Uni-App umożliwia stworzenie jednego kodu źródłowego, który można szybko wdrożyć jako aplikację mobilną, desktopową lub stronę internetową. Dla cyberprzestępców oznacza to niski koszt wejścia, dużą szybkość operacyjną i prostą replikację sprawdzonych scenariuszy oszustw.

Badacze wskazują, że operatorzy sprzedają gotowe szablony stron inwestycyjnych, co przypomina model cybercrime-as-a-service. Poszczególne kampanie mogą korzystać z podobnej warstwy frontendowej, ale działać pod innymi domenami, na odrębnym hostingu i z różną legendą operacyjną. To utrudnia szybkie łączenie incydentów w jedną rodzinę zagrożeń.

Wśród zidentyfikowanych zastosowań znalazły się:

  • fałszywe giełdy kryptowalut,
  • platformy typu deposit-and-trade,
  • drainery portfeli kryptowalutowych,
  • imitacje serwisów bukmacherskich i prediction markets,
  • witryny phishingowe służące do zbierania poświadczeń.

Analiza wzorców rejestracji domen i zmian tempa przyrostu nowych serwisów sugeruje istnienie bardziej scentralizowanych zależności operacyjnych. Nawet jeśli poszczególne kampanie są prowadzone przez różne grupy, wspólna baza technologiczna wskazuje na wysoki poziom standaryzacji i przemysłowe podejście do oszustw.

Istotna jest również warstwa socjotechniczna. Część operacji nie ogranicza się do samej strony internetowej, ale buduje pozory realnej działalności gospodarczej, co zwiększa wiarygodność oszustwa i utrudnia ofiarom ocenę ryzyka.

Konsekwencje / ryzyko

Skala tej infrastruktury znacząco zwiększa zagrożenie dla użytkowników indywidualnych, firm i instytucji finansowych. Ofiary mogą stracić środki finansowe, dane uwierzytelniające, tożsamość cyfrową oraz dostęp do portfeli kryptowalutowych.

Dla organizacji ryzyko obejmuje wzrost liczby incydentów phishingowych, nadużyć marki oraz kosztów obsługi klientów, którzy padli ofiarą podszywania się pod legalne usługi. Szczególnie niebezpieczne są kampanie łączące fałszywe inwestycje z phishingiem komunikatorowym, ponieważ mogą one prowadzić do przejęcia kont, dalszych oszustw finansowych i wycieku danych.

Automatyzacja i ponowne użycie kodu sprawiają, że samo blokowanie pojedynczych domen jest niewystarczające. Po wyłączeniu jednej części infrastruktury operatorzy mogą szybko odtworzyć obecność w sieci, rejestrując nowe domeny i wdrażając niemal identyczne kopie stron.

Rekomendacje

Skuteczna obrona wymaga podejścia wielowarstwowego, opartego nie tylko na pojedynczych wskaźnikach kompromitacji, ale również na analizie wzorców działania całych rodzin oszustw.

  • monitorowanie nowych domen podszywających się pod marki, usługi inwestycyjne i produkty finansowe,
  • analiza podobieństwa kodu frontendu, hostingu i schematów rejestracji domen,
  • wdrożenie ochrony przed phishingiem w kanałach web, e-mail i komunikatorach,
  • integracja danych threat intelligence z systemami proxy, DNS i EDR,
  • prowadzenie działań brand protection oraz szybkiego zgłaszania nadużyć do rejestratorów i operatorów hostingu,
  • edukacja użytkowników w zakresie rozpoznawania fałszywych platform inwestycyjnych i nierealistycznych obietnic zysków,
  • weryfikacja legalności platform finansowych przed dokonaniem wpłaty, zwłaszcza przy ofertach związanych z kryptowalutami.

Zespoły SOC i threat intelligence powinny śledzić charakterystyczne artefakty aplikacji budowanych w tym ekosystemie. W praktyce bardziej efektywne może być mapowanie całych klastrów zagrożeń niż reagowanie wyłącznie na pojedyncze incydenty.

Podsumowanie

Wykorzystanie legalnego frameworka Uni-App do budowy masowej infrastruktury oszustw pokazuje, że współczesna cyberprzestępczość działa coraz bardziej modułowo, skalowalnie i usługowo. Ponad 200 tysięcy powiązanych domen wskazuje na dojrzały rynek gotowych szablonów dla oszustw inwestycyjnych, phishingu i fałszywych usług kryptowalutowych.

Dla obrońców oznacza to konieczność odejścia od czysto reaktywnego blokowania pojedynczych stron i przejścia do analizy całych ekosystemów zagrożeń, obejmujących kod, infrastrukturę, socjotechnikę oraz model biznesowy przestępców.

Źródła

  • https://www.securityweek.com/chinese-framework-powers-200000-scam-sites/
  • https://www.infoblox.com/