Infoblox: Mehr als 236.000 DCloud-Uni-App-Seiten für Krypto-Betrug und Phishing im Einsatz

Zusammenfassung

Infoblox hat nach eigenen Angaben mehr als 236.000 Websites identifiziert, die auf Betrugsvorlagen basieren, die mit dem legitimen chinesischen Open-Source-Framework DCloud Uni-App erstellt wurden. Konkret nennt das DNS-Bedrohungsanalyseunternehmen 236.493 unterschiedliche Second-Level-Domains. Die Vorlagen dienen laut dem zuletzt veröffentlichten Bericht unter anderem für gefälschte Kryptobörsen, mehrsprachige „Pig-Butchering“-Operationen, WhatsApp-Phishing-Netzwerke, falsche Glücksspielplattformen, Seiten zur Nachahmung bekannter Marken und Krypto-Wallet-Drainer. Infoblox zufolge läuft diese Form betrügerischer Infrastruktur seit Mitte 2022 und hat sich in den vergangenen zwei Jahren deutlich ausgeweitet. Das Unternehmen betont zugleich, dass die Nutzung von DCloud selbst kein Hinweis auf böswillige Absicht ist. Auffällig seien aber wiederkehrende Merkmale wie vorgetäuschte Broker-Oberflächen, Wallet-Drainer-Eingabeaufforderungen, manipulierte Glücksspieloberflächen, gefälschte Shopfronten bekannter Marken und die Nutzung sogenannter Bulletproof-Hosting-Dienste. Die beobachteten Domains verteilen sich laut Infoblox über alle Kontinente, richten sich an Sprecher von mindestens acht Sprachen und geben sich als Marken aus, die von großen Börsen über Einzelhandelskonzerne bis hin zu Messaging-Plattformen reichen.

Nach Einschätzung von Infoblox verkaufen unbekannte Akteure Vorlagen für DCloud-Investmentbetrug. Zugleich sieht das Unternehmen Hinweise darauf, dass ein erheblicher Teil der mit DCloud gebauten Investment-Betrugsseiten zentral gesteuert oder besessen wird. Grundlage dafür seien Rückgänge bei neuen Domainregistrierungen über Betrugsseiten auf verschiedenen Hostern hinweg. Das deute darauf hin, dass eine zentrale Partei entweder gestört wurde oder koordinierte Änderungen an ihren DCloud-Betrugsseiten vornimmt. Als weitere Anzeichen nennt Infoblox technische Fingerabdrücke, Kommunikationswege zu Opfern und Hosting-Entscheidungen.

Unter den identifizierten Domains befindet sich laut Infoblox auch RainbowEx, eine gefälschte Kryptowährungsbörse. Die Plattform sorgte Ende 2024 für Schlagzeilen, weil sie ein Ponzi-Schema betrieben haben soll, das Zehntausende Menschen in San Pedro in Argentinien betraf. Später im selben Jahr wurden sieben mit dem Betrieb verbundene Personen von Strafverfolgungsbehörden festgenommen.

Infoblox beschreibt zwei verwandte, aber unterschiedliche Gruppen von DCloud-geprägten Seiten. Dabei sei die Population von Investment-Betrugsseiten größer, als es der einfache DCloud-Fingerabdruck erkennen lasse. Der Grund: Fortgeschrittene Betreiber hätten die standardmäßigen DCloud-Bestandteile entfernt, um einer Identifizierung über Fingerabdrücke zu entgehen. Eine zweite Gruppe von DCloud-Betrugsseiten werde von mehreren, nicht miteinander verbundenen Betreibern geführt und umfasse ein breites Spektrum betrügerischer Modelle.

Für die USA verweist Infoblox auf zwei öffentlich bekannte Fälle mit demselben Muster. Zuerst nennt das Unternehmen den Investitionsbetrug rund um den Roller-Sharing-Dienst LSSC, der im vergangenen Jahr in umfangreiche bundes- und einzelstaatliche Betrugsermittlungen mündete. Als zweiten Fall führt Infoblox einen auf Fahrrad-Sharing ausgerichteten Investitionsbetrug an, der derzeit aktiv Opfer anwerbe und unter dem Deckmantel eines im Vereinigten Königreich registrierten Unternehmens mit echter US-Bundeslizenz für Geldtransfers auftrete.

Der mit dem Uni-App-Framework gebaute Roller-Investmentbetrug läuft laut Infoblox unter der Marke Yuechi Sharing Technology Ltd. und zielt vor allem auf Australien, Neuseeland und die USA. Das Frontend bietet eine Anmelde- oder Registrierungsmaske. Für die Registrierung sollen Nutzer Telefonnummer, SMS-Bestätigungscode und einen Einladungscode eingeben, der von einem bestehenden Affiliate des Pyramidensystems weitergegeben wird.

Infoblox beschreibt diesen Einladungscode als typisches Merkmal solcher Investment-Betrugsseiten. Ohne vorherige Anwerbung durch einen bestehenden Affiliate könne ein Interessent weder ein Konto anlegen noch die Einzahlungsmaske erreichen. Das passe dazu, dass Betreiber Opfer in Anwerber verwandeln wollten, die wiederum Freunde, Familie und Kollegen für weitere Einzahlungen in das System ziehen.

Hinzu kommt laut Infoblox eine Kundendienst-Komponente, die Opfer in einen markierten Chat außerhalb der Plattform umleitet, etwa bei Registrierungsfehlern, blockierten Auszahlungen oder zurückgehaltenen Einzahlungen.

Bei der Infrastruktur stellte Infoblox fest, dass die Mehrheit der DCloud-basierten Investment-Betrugsdomains bei legitimen Anbietern wie Cloudflare, Alibaba Cloud, Tencent Cloud und Amazon Web Services gehostet wird. Rund sechs Prozent der sichtbaren DCloud-Investment-Betrugsdomains nutzten dagegen Bulletproof-Hosting-Anbieter wie CTG Server Limited (AS152194), der bereits zuvor wegen bösartiger Cyberaktivitäten markiert worden sei.

Auffällig ist für Infoblox zudem der Unterschied zwischen einfachen und verschleierten Seiten. In der „ausweichenden“ Gruppe, bei der Betreiber die Framework-Signatur bewusst verborgen haben, liege der Anteil von Bulletproof Hosting ungefähr doppelt so hoch wie in der Standardgruppe mit unverändertem DCloud-Fingerabdruck. Für Infoblox ist das ein Hinweis darauf, dass Betreiber, die Fingerabdrücke gezielt entfernen, auch eher Infrastruktur suchen, die Löschanfragen widersteht.

Infoblox: Mehr als 236.000 DCloud-Uni-App-Seiten für Krypto-Betrug und Phishing im Einsatz

Ähnliche Artikel

Neueste Artikel