Недавно мы уже писали о первой части расследования Infoblox вокруг известного трекера Keitaro. В последний год вокруг самого продукта и без того хватает негатива — чего стоит одна только история с рефками.
Во второй части американские кибербезопасники снова сделали для себя «сенсационные» открытия и с максимально серьезным видом разобрали то, о чем в курсе каждый арбитражник: клоака, TDS, редиректы, геогейты и развод потока. Ниже — о том, что именно они раскопали на этот раз и почему для affiliate-рынка тут куда меньше откровений, чем им кажется.
Почему новая часть неудобна для Keitaro
Разговоров и претензий вокруг Keitaro и без Infoblox изрядно накопилось. Надеемся, все помнят ситуацию с рефками, когда сервис в августе того года резко решил изменить условия своей реферальной программы и обнулить рефералов у всех аффов без исключения. Партнеркин эта «перестройка модели» тоже задела: Keitaro опрокинули нас на 400+ рефералов. Тогда сказали, мол, будет новая модель и копите реферальную базу заново, но по факту название этому — скам обыкновенный.
Поверх этого по рынку давно ходят разговоры о массовых сокращениях внутри Apliteni — разработчика и правообладателя трекера Keitaro. Сокращения проводятся в рамках реорганизации: по информации из источников, компания уже сократила 30% сотрудников, а всего планирует сократить до 80% работяг.
В ту же копилку идут блокировки аккаунтов за гемблинг и клоакинг, и можно смело сделать вывод, что компания воюет куда-то не туда. А Infoblox своими расследования, по ощущениям, пытается усугубить и без того шаткое положение трекера.
Что Infoblox вынес во вторую часть
Главная мысль второй части формулируется так: Keitaro интересен потому, что это готовая связка из трекера, системы распределения трафика и клоаки в одной панели, но никак не потому, что он какой-то секретный. Меньше бесполезных действий, меньше своего стека, быстрее запуск, проще направлять трафик и правила маршрутизации. В целом, для нашей индустрии ничего не обычного.
По цифрам Infoblox утверждает, что больше 20% команд, который отслеживал Confiant, активно использовали Keitaro, а добрая часть из них набирали миллионы просмотров. Они выделяют 25 групп, у которых спам был основным каналом залива. В сумме получилось около 120 кампаний и десятки тысяч писем за четыре месяца. При этом 96% спам-кампаний со ссылками на сайты на базе Keitaro вели к крипто-воронкам через коннект кошелька.
Крипта через спам и коннект кошелька
Это одна из самых подробных частей расследования, где кибербезопасники описывают спам-воронки под крипту. Юзеру приходит письмо с приманкой, он кликает по ссылке и попадает на промежуточную прокладку с Keitaro, а дальше его уже уводят на связку с подключением кошелька и дальнейшим выводом ликвида. Авторы отдельно подчеркивают, что именно такие кампании у них были самыми массовыми в спам-сегменте.
В качестве примера Infoblox приводит следующий кейс — фейковую раздачу токенов Phantom. Пользователю обещали бесплатные токены, письмо маскировалось под рассылку Phantom, дальше человека вели на страницу с раздачей, а потом подводили к подключению кошелька. Что было в конце воронки, думаем, ни для кого не секрет.
Брендовый заход через Netflix и Spotify
В основном такие страницы делались под Netflix и Spotify. По словам Infoblox, заход везде был одинаковый: «у вас не прошел платеж, нужно срочно обновить данные». Плюс такой схемы в том, что пользователя не ведут в лоб через агрессивный кликбейт, а подталкивают к действию через обычную жизненную ситуацию, где многие действительно не будут долго думать и просто нажмут на кнопку.
Еще они, конечно, описывали, как спамеры меняли мусорный код в письмах, чтобы их хуже ловили почтовые фильтры, но особого смысла тащить это в нашу статью нет. Самое главное, что Keitaro у них снова фигурирует как развилка и фильтр на потоке.
Еще один неплохой пример — локализованные письма, стилизованные под уведомление о поступлении зарплаты или рабочее сообщение. После клика юзер оказывался на фейковой странице, где часть данных уже была подставлена заранее. Соответственно, чем меньше действий пользователю нужно совершить, тем выше шанс, что он точно дойдет до нужного шага. По сути Infoblox снова не открыли Америку.
Финансы через псевдоновости и старый кликбейт
Хотя в первой части об этом уже шла речь, тут до финансовой вертикали все равно добрались. И самое главное — опять в виде какой-то сенсации. Тут Infoblox рассказывает про команду, которую называет AirportArrest.
Связка стара как мир и работает следующим образом: аффы размещали фейк-новости про аресты, скандалы и локальные инфоповоды. Пользователь кликает по этой новости и начинает свой гордый путь по воронке. Подробно разбирать тут смысла нет, потому что все и так понимают, о чем речь.
Нутра и товарка под клоаку
Отдельный блок шокирующего расследования посвящен страницам с товарами для здоровья. В целом это обычная нутра с заходом через товарку, где в креативе обещают быстрый результат, скидку и дефицит, а дальше трафик разводят — лишних уводят на белый лендинг, целевых ведут на боевую.
Пуши, которые тоже стали открытием
В пример авторы приводят команду TheNovosti, и речь там идет о пуш-связках. Infoblox описывает это так: человека заводят через фейковую страницу, дожимают до подписки на уведомления, а дальше эту базу монетизируют под что угодно.
Пуши ребята тоже представляют как отдельное открытие. Infoblox пишет, что у этого кластера на пике оборот доходил до 4000 доменов в неделю.
И до гемблы добрались
Infoblox пишет, что видел связки, где людей вели прямо на казино через несколько редиректов перед финальным лендингом. В цепочках фигурируют адреса с trk и tds. Сам же путь до оффера — это типичная гембловая связка с разводом потока по ГЕО и условиям. По сути они подробно описали базу залива под гемблинг.
Думаем, теперь вы понимаете, почему мы не стали тащить в статью всю фактуру из исследования и подробно все объяснять. Просто когда западные кибербезопасники в 2026 году подробно объясняют, что поток можно прогонять через редиректы, фильтровать и показывать разным юзерам разные страницы, это читается слегка комично.
Почему этот ресерч все-таки полезен
У Infoblox получился полезный срез по тому, как через Keitaro запускают абсолютно разные связки — от финансов и крипты до нутры, пушей и гэмблы. Для нас он, конечно, не интересен как какая-то сенсация или инсайд. Скорее с той стороны, что собирает знакомую рынку механику в одну большую картину и показывает ее уже глазами внешнего ресерча и языком киберпезопастности.
А что касается самого Keitaro, пока их репутация вроде держится, но зачатки шаткости и негатива уже имеются. Данный ресерч, к слову, вышел в очень неудобное для них время и вполне может повлечь за собой серьезный репутационный удар.
Источник