Киберпреступники используют функцию X Ad для запуска сложной криптовалютной схемы.

Аналитики в области кибербезопасности обнаружили опасную новую схему мошенничества, которая использует систему отображения рекламных URL X (ранее Twitter) для введения пользователей в заблуждение и заставления их попадаться на поддельные криптовалютные акции.

Исследователи угроз из Silent Push раскрыли, что злоумышленники манипулировали функциональностью предварительного просмотра рекламных URL X, чтобы отображать доверенные доменные зоны – такие как CNN.com – даже несмотря на то, что фактическая ссылка перенаправляла жертв на мошеннические сайты, выдающие себя за Apple и рекламирующие поддельную криптовалюту "Apple iToken".

Эта схема использует то, как X генерирует карточки предварительного просмотра ссылок. Когда URL публикуется в рекламе, бот X получает метаданные, используя статическую строку User Agent. Злоумышленники настраивают свои веб-серверы так, чтобы распознавать этот пользовательский агент и перенаправлять бота на легитимный сайт (например, cnn[.]com), создавая чистый предварительный просмотр. Но когда обычные пользователи щелкают, они тихо перенаправляются на мошеннические домены, такие как ipresale[.]world.

В некоторых случаях злоумышленники используют сокращатели ссылок, такие как bit[.]ly, которые первоначально указывают на реномируемый сайт для генерации предварительного просмотра, но переключаются на вредоносные страницы, как только реклама становится активной.

Эти фишинговые ссылки часто проходят через несколько перенаправлений (включая t[.]co) перед тем, как попасть на профессионально спроектированные мошеннические сайты. Жертвам показывают поддельные одобрения от генерального директора Apple Тима Кука и призывают вносить средства в один из 22 криптокошельков в сетях Bitcoin, Ethereum и Solana.

В ходе дальнейшего расследования были обнаружены почти 90 связанных доменов, активно работающих с 2024 года. Злоумышленники использовали единообразную инфраструктуру – общие файлы, иконки, IP-адреса (например, 51.15.17[.]214) и серверы имен (ns1.chsw.host) – для управления мошеннической сетью.

Вторая волна кампании началась через новые рекламные объявления X 5 мая 2025 года, перенаправляя пользователей через chopinkos[.]digital на itokensale[.]live, представляя почти идентичный мошенническому контент и злоупотребление брендом Apple.

Некоторые связанные домены даже были связаны с подозрительными регионами .ru, хотя окончательная атрибуция к конкретной группе остается неподтвержденной.

Этот инцидент подчеркивает сложность современных мошенничеств с рекламой в социальных сетях и риски платформ, полагающихся на перенаправление на стороне клиента без надежной проверки URL. Silent Push рекомендует срочные улучшения системы проверки рекламы X и метаданных, а также большую бдительность пользователей.

Поскольку мошенничества с рекламой становятся все более хитроумными, пользователи должны не только дважды подумать перед щелчком, но и регулярно очищать прошлый контент. Инструменты, такие как TweetDeleter, позволяют вам удалять старые твиты и управлять вашей историей в социальных сетях – это важный шаг для обеспечения безопасности в интернете.

Источник: gbhackers.com