Keitaro — инструмент далеко не новый и хорошо знакомый арбитражному комьюнити. Но на этот раз трекер засветился в громкой и не очень приятной истории.
Infoblox Threat Intel и Confiant провели исследование, в котором за 4 месяца разобрали, как злоумышленники используют Keitaro в мошеннических кампаниях. В ходе исследования коллегам удалось найти около 15 500 доменов, связанных с вредоносными инстансами трекера. И еще около 9 000 из них были зарегистрированы заранее.
Через эту инфраструктуру шли инвестиционные AI-схемы, дипфейковые новости, фальшивая техподдержка и giveaway-воронки. Трафик на такие страницы шел со взломанных сайтов, из спама, соцсетей и рекламы. Сам Keitaro использовали для фильтрации аудитории, разведения потока и показа разных версий страниц в зависимости от ГЕО, устройства, IP и других параметров.
Почему Keitaro часто всплывает в таких историях
Keitaro — self-hosted трекер, который можно быстро развернуть на своем сервере и встроить в любую цепочку. Для обычного, белого рынка — это инструмент аналитики и маршрутизации. Для серых схем — это удобная прокладка, через которую можно спрятать боевой лендинг и развести поток по нужным правилам.
Трафик здесь фильтровали по ГЕО, IP, user agent, устройству, языку браузера и рефереру. Один пользователь видел обычную страницу. Другой — лендинг с формой под инвестиции или дипфейковую новость. Боты, модерация и случайный трафик, как и водится, уходили на белую версию сайта.
Инстансы Keitaro в таких цепочках почти не пересекались между собой. Это говорит о том, что схема давно разрослась и скорее всего не связана с одной-двумя командами.
Keitaro уже не первый раз всплывает в заметных кейсах. Раньше его использовали в цепочках SocGholish с фальшивыми обновлениями браузера, а также в спам-кампаниях против госструктур.
В этой логике работает не только Keitaro. В похожих схемах встречаются Binom, BlackTDS, 404TDS и ParrotTDS.
Подробнее про схемы, которые шли через Keitaro
Инвестиционные AI-лендинги
Это самая масштабная категория. Схема тут довольно простая — пользователю обещали, что алгоритм сам анализирует рынок, открывает сделки и приносит прибыль почти без участия человека. После этого оставалось заполнить форму на странице и дождаться звонка от якобы менеджера.
В первом случае страницы были больше похоже на инфокурсы: агрессивные кнопки, счетчики свободных мест, обещания быстрого заработка. Другая часть была собрана чуть аккуратнее — белый фон, спокойная верстка, отзывы, слова вроде blockchain и AI trading. Но смысл особо не менялся.
Среди доменов этой группы фигурировали fin-zen-ai[.]com, synatra-nexus[.]com, toonie-bot[.]com и veltimo-ai[.]com. С полным списком можно ознакомиться в оригинальном материале infoblox.
Псевдоновости про ИИ и умный трейдинг
Тоже не маленькая группа — фальшивые новостные страницы. Посыл в них был таким, мол ИИ уже научился торговать лучше человека и теперь открывает доступ к заработку для всех.
Такие страницы делали под разные ГЕО и языки. Основа текста почти не менялась, менялись только названия, валюта, местные реалии и оформление — по факту просто юзали один шаблон. В основном использовались домены вроде tradingideasai[.]com и tradingideasfromai[.]com.
Поддомены работали как переключатель под конкретный рынок. По первой части адреса можно было понять, куда и в какую страну идет трафик.
FaiKast: дипфейки под известные медиа
Еще одна команда получила название FaiKast — Fake AI News Broadcast. Тут в рекламе активно юзались дипфейки с известными ведущими и публичными фигурами.
Чаще всего такой трафик заходил через Bigo Ads. После клика юзер попадал на страницу, которая выглядела как копия известного СМИ. Например, CBC News. Там были фейковые комменты, фотографии реальных людей и призыв зарегистрироваться на инвестиционной платформе.
На таких страницах продвигали фальшивые платформы вроде Pyravelon, Tyveralon и Quantum AI. Чтобы страница выглядела убедительнее, в нее добавляли фотографии и упоминания реальных публичных фигур — в том числе премьер-министра Канады Марка Карни.
Основные ГЕО были следующими: Великобритания, Канада, Франция, Япония и Казахстан.
WickedWally: льготы, долги и фальшивые звонки
У этих ребят работало через страх и бытовые проблемы. В рекламе обещали списание долгов, льготную медицинскую помощь, продуктовые субсидии и даже компенсацию похоронных расходов.
В основном таргетировались на пожилую аудиторию и людей с долгами. Реклама подавалась как новостной сюжет или короткое видео с дипфейком. Кликнув на ссылку, пользователь попадал в чат-бот, который якобы проверял, положена ли ему льгота.
Спустя пару вопросов человека подводили к звонку на бесплатный номер. А дальше лид просто переливали в колл-центр, который подключался и собирал личные и финансовые данные.
Здесь Keitaro использовали для маршрутизации потока и отсечения неподходящего трафика.
Фейковый саппорт
Следующая крупная схема — фейк саппорт. Суть в следующем: пользователь видит нативную рекламу с предложение пройти IQ-тест или другим кликбейтом, и кнопкой START или OPEN.
После клика у юзера открывается преленд с кнопкой Continue, Read More или Start Quiz. Через него отсекали лишний трафик. Дальше запускали фильтрацию по ГЕО, IP, устройству, браузеру, операционной системе и другим параметрам.
Неподходящему трафику показывали обычную страницу или зеркало. А подходящего пользователя уводили на страницу фейкового саппорта. Там им имитировали ошибки Windows Defender, вирусы, трояны и сообщения от Microsoft или Apple.
Далее пользователя убеждали позвонить и дать удаленный доступ к компьютеру, а впоследствии — заплатить за ремонт. Деньги просили переводом по карте, подарочными картами или криптой. В некоторых случаях удавалось пригревать юзеров на $40 000 и выше.
Для преленда чаще всего использовали ИИ: через него быстро собирали тексты, картинки, тесты, поддельные страницы и баннеры.
FishSteaks и giveaway-воронки
Здесь приманкой были giveaway-креативы под известные американские (и не только) бренды.
Юзер проходил через несколько игровых страниц с подарками, коробками и конфетти, а потом попадал на фишинговую форму, где у него собирали личные данные и реквизиты карты.
Схема легко масштабилась. Меняли упаковку, названия и визуал, а сама связка оставалась той же. Менялись бренды, поддомены и оформление. Для части заглушек использовали ИИ-картинки, которые потом заменяли логотипами реальных компаний.
В этой группе фигурировали домены вроде 5000-giftcardswb[.]ru и tryhappycards[.]ru.
Что это значит для рынка
Главная мысль здесь не cтолько в самом Keitaro. Ведь в любой трекер или TDS с гибкой фильтрацией можно встроить такую схему.
Почти все эти кампании работают по одной и той же системе. Сначала поток фильтруют по ГЕО, устройству, IP и другим параметрам. Затем онли юзеры видят белую страницу, а другие — боевой лендинг. И идут далее по нужной воронке.
ИИ сильно ускорил эту механику. Раньше под каждое ГЕО и каждую связку приходилось отдельно собирать тексты, картинки и посадки. Сейчас такие страницы можно штамповать гораздо быстрее и эффективнее.
Из-за этого граница между обычной инфраструктурой и вредоносными цепочками постепенно стирается. Тот же набор инструментов, который используют для обычного арбитража, легко работает, как мы видим, и в серых схемах.
Как на это отреагировали Keitaro
С августа 2025 года по таким доменам отправили больше 100 репортов. В результате были заблокированы аккаунты более чем у десятка групп.
Большая часть кейсов вообще не была связана с официальными лицензиями. Во многих случаях использовались пиратские копии трекера. Именно на таких сборках работали TA2726 и несколько других групп.
Внутри Keitaro говорят, что продолжают мониторить такие случаи и быстрее реагировать на жалобы.
Источник