malek-alhu/marketplace-phaas-tracker
GitHub: malek-alhu/marketplace-phaas-tracker
一个防御性的威胁情报研究项目,通过被动OSINT和静态分析拆解并持续追踪一个多品牌市场钓鱼即服务工具包的基础设施与攻陷指标。
Stars: 0 | Forks: 0
# Marketplace Phishing-as-a-Service (PhaaS) — 基础设施追踪与工具包拆解
[](.github/workflows/infra-monitor.yml)
[](#methodology)
[](SECURITY.md)
[](docs/kit-code-analysis.md)
[](#the-phaas-ecosystem-where-this-comes-from)
**主题:** `phishing` · `phaas` · `threat-intelligence` · `osint` · `classiscam` · `telekopye` · `phishing-kit` · `ioc` · `incident-response` · `cti` · `anti-fraud` · `3d-secure` · `otp-theft` · `marketplace-scam`
## 目录
- [这是什么](#what-this-is)
- [概览](#at-a-glance)
- [运作方式(kill chain)](#how-the-operation-works-kill-chain)
- [目标人群与目标](#who--what-it-targets)
- [同一品牌背后的两个运营者](#the-two-operators-behind-one-brand)
- [关键技术发现(工具包拆解)](#key-technical-findings-kit-teardown)
- [实时基础设施追踪器](#the-live-infrastructure-tracker)
- [检测特征](#detection-signatures)
- [攻陷指标 (IOCs)](#indicators-of-compromise-iocs)
- [视觉证据](#visual-evidence)
- [PhaaS 生态系统:其来源](#the-phaas-ecosystem-where-this-comes-from)
- [仓库结构](#repository-structure)
- [如何使用此仓库](#how-to-use-this-repo)
- [方法论](#methodology)
- [道德、范围与安全处理](#ethics-scope--safe-handling)
- [贡献](#contributing)
- [参考资料与延伸阅读](#references--further-reading)
## 这是什么
分类信息市场上的一名卖家被虚假的**“买家”**联系,并被转移到 **WhatsApp** 上,随后收到一个指向**虚假“接收付款”页面**的个性化链接。该页面是一个经过专业设计并**出租的钓鱼工具包**的实例之一,它在欧洲及其他地区伪装成数十个市场、快递和支付品牌——并通过一个**实时操作员“帮助台”聊天**,在其有效时间窗口内传递一次性密码,**实时**窃取**完整的卡片数据以及 3-D Secure / OTP 验证码,从而**绕过 2FA**。
本仓库端到端地记录了该操作——包括**工具包**、其**分发链**、其**命令与控制**、其**针对的品牌和国家**,以及它所属的更广泛的**基于 Telegram 分发的 PhaaS 生态系统**——然后**持续监控该基础设施**,因为运营者大约**每天**轮换域名。这里的所有内容均建立在**被动 OSINT 和对工具包公开提供的代码的静态分析**基础之上;**未对任何运营者系统进行探测、访问或攻击**。
**为什么这很重要。** 此类操作(Classiscam / Telekopye 风格)已在数十个国家窃取了**数千万欧元** [据 Group-IB / ESET]。这里分析的具体工具包**尚未被公开记录**——其特征在常规威胁情报源中**零命中**——因此下方的 IOC 和指纹是提供给防御者的**全新、可重用的检测素材**。
## 概览
| | |
|---|---|
| **操作类型** | 多品牌市场快递-支付 PhaaS(Classiscam / Telekopye 类) |
| **诱饵** | 虚假“买家” → WhatsApp → 个性化*“接收付款”*页面 |
| **窃取内容** | 完整 PAN、CVV、有效期、账单身份、银行登录凭据、**3-D Secure / OTP** — 以明文捕获 |
| **如何攻破 2FA** | **人工操作员**进行实时聊天并**在其有效时间窗口内传递 OTP** |
| **工具包技术栈** | **Next.js 16.2.7 / React 19.2.7**,Turbopack 构建,Emotion CSS,约 70 个代码分割块 |
| **品牌覆盖** | **约 120 个品牌的皮肤库**;为 **34 个国家**硬编码了基于国家的 **Stripe 路由** |
| **实时确认的目标** | 🇮🇹 Subito · 🇵🇱 OLX · 🇩🇪 Kleinanzeigen · 🇳🇱 Marktplaats · 波罗的海国家 OMNIVA · InPost |
| **C2 / 数据外传** | 自托管 WebSockets — `/api/ws/stripe/sync`(卡片)+ `/ws/helpdesk`(操作员控制台) |
| **作者身份** | **俄语使用者** — 253 个西里尔字母字符串:包含构建器管理面板和操作员欺诈脚本 `[H]` |
| **基础设施** | 由 Cloudflare 代理的源站(运营者 A)**+** 在 **AS210558** 上暴露的防弹源站(运营者 B) |
| **公开文档状态** | 工具包指纹在标准情报源中**零命中** — **全新的 IOC 情报** |
| **追踪** | **无密钥** GitHub Actions 定时任务,每 6 小时一次 → 提交状态并在出现新指标时开启 Issue |
文档中全程标有置信度:**[H]** 已观测 · **[M]** 推断 · **[L]** 信号微弱 · **[NF]** 未发现(留空) · **[EXT]** 外部已发表研究。
## 运作方式(kill chain)
端到端的欺诈链,基于捕获的页面、工具包自身的 JavaScript 和记录的操作员聊天重建(完整细节见 [`docs/operation-dossier.md` §2](docs/operation-dossier.md)):
| # | 阶段 | 发生情况 |
|---|---|---|
| **0** | **诱饵** | 虚假*买家*在市场上联系真实卖家,并将他们引至 **WhatsApp Business**(“我已经通过快递付款了——点击接收你的钱”)。 |
| **1** | **重定向器** | 链接首先命中一个带有自定义 `x-rate-limit-limit: 3` worker 的**老网关域名**,该 worker 通过客户端重定向到实时工具包。 |
| **2** | **伪装网关** | 工具包对**住宅 IP + 真实浏览器 + 有效的一次性 token + 国家**进行指纹识别(实时 `api.ip.sb/geoip`)。扫描器、沙箱以及错误国家/地区会看到**良性的诱饵页面**。 |
| **3** | **诱饵页面** | 一个像素级完美的*“买家已付款”*页面:包含一个“Ricevi fondi / Receive funds”按钮、一个虚假的 **Stripe** 框、快递和卡片品牌徽标,以及一个实时**“支持 / 操作员 24/7”**聊天。 |
| **4** | **实时社工** | **人工操作员**与受害者进行实时聊天,引导他们“确认”付款(对话已被逐字记录——见 [§6](docs/operation-dossier.md))。 |
| **5** | **卡片窃取** | 支付模块捕获**卡号、CVV、有效期、完整账单地址、账户登录凭据、密码、电话、PIN**。 |
| **6** | **银行定制** | 查找卡片 **BIN**(`binlist.net` / `data.handyapi.com`),以渲染**匹配的虚假银行 / 3-D Secure 界面**。 |
| **7** | **实时 OTP 盗窃** | 卡片数据通过 WebSocket 流式传输给操作员,操作员**触发真实的扣款/转账**,并**在其有效时间窗口内传递 OTP / 3-D Secure 验证码 → 2FA 被绕过**。 |
| **8** | **洗钱提现** | 欺诈性扣款、钱骡和**加密货币洗钱** `[EXT]`。 |
## 目标人群与目标
这是一个**全球性的窃卡足迹**,而不是一个单一品牌的骗局。目标的确定基于三种方式:**实时确认**的捕获、**工具包中硬编码的品牌登录/重定向 URL**,以及从源代码中恢复的**约 120 个品牌的皮肤库**。完整明细见 [`docs/operation-dossier.md` §9](docs/operation-dossier.md)。
### 被仿冒的品牌
| 类别 | 示例(**加粗**为实时确认) |
|---|---|
| **市场** | **Subito (IT)**, **OLX (PL)**, **Kleinanzeigen (DE)**, **Marktplaats (NL)**, Allegro (PL), Leboncoin (FR), Bazar.bg (BG), Blocket + Bytbil (SE), FINN/iMarked (NO), Anibis · Tutti · Ricardo (CH), Laendleanzeiger (AT), TradeMe (NZ), Vinted, Wallapop, Depop, Carousell, OfferUp, DBA, Aukro, 999.md, Booking, IKEA |
| **快递 / 邮政** | **OMNIVA (波罗的海)**, **InPost (PL)**, DHL, DPD, UPS, Correos (ES), CTT (PT), PostNL, bpost, FAN Courier (RO), Packeta, Posta Moldovei (MD), Balíkovna (CZ), Posta Română / SelfAWB (RO) |
| **支付 / 银行** | "Stripe" (欺诈), TWINT (CH), Vipps MobilePay (NO/DK), Western Union, Tikkie (NL), 通用银行 / 3-D Secure 界面 |
### 国家(为 **34** 个国家硬编码了基于国家的 **Stripe** 路由)
`AT · AU · BE · BG · BR · CA · CH · CZ · DE · DK · EE · ES · FI · FR · GB · HK · HR · HU · IS · IT · LT · LV · MD · NL · NO · NZ · PL · PT · RO · SE · SG · SK · US`
### 规模与受害者学 `[H]`
urlscan 捕获的仅是真实受害者的**一小部分**,因此下方的每个数字都是**底线**,而非总数:
- **运营者 A 2026 年 6 月活动:** 127 次扫描 · **47 个不同的受害者 token** · 19 个域名 — **全为 OLX(波兰)**。
- **更广泛的工具包家族:** 约 2,900 次扫描 · **约 500 个不同的受害者 token** · 约 440 个域名 — 主要集中在
**Kleinanzeigen (德国)** 和 **OLX (波兰)**。
- **运营者 B(独立的 Subito PHP 工具包):** **69 个不同的主机**,活跃时间为 **2021 年 → 2026 年**。
- **默认构建器指纹:** 品牌*“Continental Group”* / 徽标 `/static/cg.png`(用于追踪未发现实例的搜索特征)。
## 同一品牌背后的两个运营者
一个关键发现是,**两个不同的运营者**针对这些品牌——在报告时请将它们区分开:
| | **运营者 A** — 被分析的 Next.js PhaaS | **运营者 B** — 较旧的 PHP 工具包 |
|---|---|---|
| **代码库** | Next.js 16.2.7 / React 19,WebSocket C2,多品牌页面构建器 | PHP “Login area riservata”,Apache/nginx |
| **源站** | **被 Cloudflare 隐藏**(AS13335)— 需要提出滥用/法律披露请求 | 在防弹托管上的**暴露的真实 IP** |
| **托管** | 域名大约每天轮换;域名注册商为 Global Domain Group + Gname.com | **1337 Services GmbH — AS210558**(汉堡),以及 AS34224 等。 |
| **打击切入点** | 锚定在 NS 账户指纹上的 Cloudflare 传票 | **可直接采取行动** — 最快的去匿名化突破口 |
## 关键技术发现(工具包拆解)
- **一个版本化的页面构建器,而非一次性页面** — 一个生产级的 **Next.js 16.2.7 / React 19.2.7** 应用(Turbopack
构建,Emotion CSS,约 70 个代码分割块),带有多语言的 **WYSIWYG 管理面板**。
- **通过自托管 WebSockets 实现实时窃取卡片数据 + OTP** — `wss:///api/ws/stripe/sync`(卡片数据)和
`wss:///ws/helpdesk`(操作员控制台)。**没有单独的 C2 主机** — 源站*本身就是*由 Cloudflare 代理的工具包
域名。
- **基于受害者的路由** — `/a/?us=`,其中 `base64⁻¹(token) = "2/"` →
`/helpdesk//` 加载该受害者的物品、价格、虚假买家姓名、地址和订单 ID。
- **深度的规避技术栈** — 老重定向域名 → 访问者伪装(住宅 IP + 真实浏览器 + 一次性 token +
国家网关) → Cloudflare 代理的源站 → 每日域名轮换 + 通配符证书(无 CT 子域名泄露)。
- **代码级别的俄语作者身份 `[H]`** — **253 个西里尔字母字符串**,包括俄语的构建器管理
面板(`Панель настроек шаблона` = “模板设置面板”)和操作员欺诈脚本
(`Карта отклонена` = “卡片被拒绝”)。该骗局是**有版本控制的** — `Покупка 1.0` / `Выплата 2.0`;基于受害者的 token
前缀 `2/` = **“Выплата (payout) 2.0”** 场景。
- **在研究期间被实时抓个正着** — 追踪器在一个新域名(`olx.express-paycore24.cyou`)注册当天触发了它,证实该集群**今天依然活跃并在轮换**。
完整代码拆解:**[`docs/kit-code-analysis.md`](docs/kit-code-analysis.md)** · 可读的带注释重构:
**[`kit-analysis/`](kit-analysis/)**。
## 实时基础设施追踪器
[`monitor/check.sh`](monitor/check.sh) 是一个**单次运行、无密钥**的基础设施追踪器。每次运行时,它都会为 [`monitor/watchlist.txt`](monitor/watchlist.txt) 中的模式捕获三种信号类型,并仅报告自上次运行以来**新增**的内容:
| 信号 | 来源(无密钥) | 捕获内容 |
|---|---|---|
| **CT 日志** | certspotter + crt.sh | 受监控根域的新证书 / 子域名;可能是新集群根域的候选者(token 匹配) |
| **urlscan** | urlscan.io 搜索 API | 通过工具包的 URL/路径指纹发现新的实时工具包域名,以及每个域名的服务 IP/ASN |
| **DNS** | 通过 1.1.1.1 + 8.8.8.8 进行 DoH 查询 | 范围内主机的新 A/AAAA 记录,并**标记非 Cloudflare 源站**(最高价值的线索) |
新指标被附加到 **[`monitor/findings.csv`](monitor/findings.csv)**(`type,indicator,source,asn,first_seen`)和
**`monitor/monitor.log`** 中;去重状态保存在 `monitor/state/`。为了保持高信噪比,DNS 仅对**已确认在范围内的主机**进行解析,而宽泛的 CT token 匹配(会与无关的合法域名冲突)会被记录为低置信度的**候选者**以供人工审查——它们永远不会被自动解析,也永远不会引发警报。只有
高置信度信号(受监控根域的新子域名、匹配工具包指纹的 urlscan 域名,以及范围内的新 IP /
非 Cloudflare 源站)才会开启 Issue。
**实时查看。** [`infra-monitor`](.github/workflows/infra-monitor.yml) GitHub Action **每 6 小时**(以及
按需)运行一次,将更新后的日志/状态/发现提交回仓库,并在出现新指标时**开启一个 GitHub Issue**。因此,查看该操作实时动态的途径就是本仓库:**提交历史**、**Issues** 和 **Actions** 选项卡 — 无需任何密钥或服务器。编辑 `watchlist.txt` 可扩大或重新聚焦监控范围。
```
# 自己运行(无需 key;需要 bash、curl、node):
bash monitor/check.sh # first run seeds a silent baseline; later runs report deltas
# 可选:经过身份验证的 urlscan 查询(更高的速率限制 / 更完整的结果)
URLSCAN_KEY= bash monitor/check.sh
```
在 CI 中,相同的密钥将从 `URLSCAN_KEY` 仓库密钥中读取;如果未设置,追踪器将以完全无密钥模式运行。
## 检测特征
可直接用于狩猎和检测规则的指纹(完整参考:[`docs/kit-code-analysis.md` §13](docs/kit-code-analysis.md)):
| 特征 | 含义 |
|---|---|
| `/a/?us=` | 基于受害者的入口 URL;`base64⁻¹` 解码为 `2/` |
| `/helpdesk//` | 个性化虚假列表页面 |
| `/m//` | 卡片捕获模块(例如 `c3RyaXBl` = "stripe") |
| `wss:///api/ws/stripe/sync` | 卡片数据外传通道 |
| `wss:///ws/helpdesk` | 实时操作员控制台通道 |
| `wss:///api/ws/sync` | 状态通道 |
| `/static/cg.png` | 构建器默认的 *"Continental Group"* 品牌标志 |
| `x-rate-limit-limit: 3` | 重定向器 / 网关 worker 标头 |
| `api.ip.sb/geoip`, `lookup.binlist.net`, `data.handyapi.com/bin/`, `v2.simpalsid.com/graphql` | 工具包发起的第三方调用 |
## 攻陷指标 (IOCs)
完整的、机器可读的指标集是 **[`docs/indicators.csv`](docs/indicators.csv)** — 包含域名、URL、IP、
端点、WebSocket 通道、第三方调用和域名服务器指纹,每个都标有运营者 / 品牌 / ASN /
首次发现时间以及被动分析优先级。**新增的实时指标**将进入 **[`monitor/findings.csv`](monitor/findings.csv)**。
## 视觉证据
实时虚假页面的渲染捕获(`screenshots/`)。**这些是作为证据展示的已记录钓鱼页面——请勿
与野外的任何此类页面进行交互。**
| 参考事件(Subito,包含实时操作员聊天) | 实时监控捕获(OLX,波兰) |
|---|---|
| 
| 
|
| `subito.verifieer.cc` — 捕获于 2026-06-06 | `olx.express-paycore24.cyou` — 追踪器捕获于 2026-06-15 |
### urlscan.io 上公开、可独立验证的扫描
作为**公开**结果提交,任何人都可以独立验证该集群:
| 域名 | urlscan 结果 | 截图 |
|---|---|---|
| `subito.cam` | https://urlscan.io/result/019ed04a-9141-777f-bbfc-8a647c160bae/ | https://urlscan.io/screenshots/019ed04a-9141-777f-bbfc-8a647c160bae.png |
| `olx.express-paycore24.cfd` | https://urlscan.io/result/019ed04a-9fbf-748a-8226-9cbb121ea75c/ | https://urlscan.io/screenshots/019ed04a-9fbf-748a-8226-9cbb121ea75c.png |
`docs/` 中引用的历史扫描(UUID `019e9db1`, `019ec607`, `019ecbd3`, `019c42ae`, `019c8c90`, `019e909c`)是
**私下**捕获的。urlscan 不允许在提交后更改扫描的可见性,并且该集群的其余部分现在已是 NXDOMAIN,因此这些结果无法重新发布——每个结果的逐字副本(以及渲染的截图)连同 SHA-256 清单一起保存在 `evidence/` 和 `screenshots/` 下。随着追踪器捕获到新的实时域名,请提交每个域名的公开扫描并将其添加到此处。
## PhaaS 生态系统:其来源
此操作属于**市场快递-支付 PhaaS** 类别,由两个有记录的、**通过 Telegram 分发的**犯罪特许经营组织主导 `[EXT]`:
- **Classiscam** (Group-IB) — 通过 **Telegram 机器人提供的自动化诈骗即服务**。**自 2019 年以来有 1,366 个 Telegram 群组**;
**从 2020 年上半年到 2023 年上半年窃取了 6450 万美元**;**覆盖 79 个国家的 251 个品牌**;为拦截 3-D Secure 仿冒了**14 个国家/地区的 63 家银行**。受害最严重的地区:德国、波兰、西班牙、意大利。
- **Telekopye** (ESET) — 一个根据模板构建钓鱼页面的 **Telegram 机器人**;黑话将受害者称为*“Mammoths(猛犸象)”*,将骗子称为*“Neanderthals(尼安德特人)”*。**自 2021 年以来超过 500 万欧元**;部分已被捷克和乌克兰的 *"RIP"* 和
*"VICTORY"* 行动(2023 年底)捣毁。
这里分析的工具包在 TTPs 上完全属于 **Classiscam / Telekopye 级别** `[M]`,但其**特定构建在公开资料中未见记录 `[NF]`**,并且它通过**自托管 WebSockets + 实时帮助台控制台**进行数据外传,而不是这些特许经营组织典型的 Telegram 机器人外传——这是一个**更高级、定制化的构建** `[H]`。将生态系统映射视为*背景*,**而不是**对特定命名攻击者的归因。
## 仓库结构
```
.
├── README.md — this file
├── SECURITY.md — research-only ethics + how the kit source is handled
├── docs/ — reports + the indicator set
│ ├── operation-dossier.md — master write-up (scam, kit, infra, IOCs, ecosystem)
│ ├── kit-code-analysis.md — reverse-engineering teardown of the client bundle
│ ├── osint-findings.md — the original passive-OSINT findings
│ ├── reporting-and-takedown.md — who to notify and what to request
│ └── indicators.csv — machine-readable IOC set
├── screenshots/ — rendered captures of the live fake pages
├── evidence/ — raw OSINT (RDAP/CT/TLS/DNS/urlscan/captures + SHA-256 manifests)
├── kit-analysis/ — readable, annotated reconstruction of the kit's architecture
├── kit-source/ — the kit's own client JS (decompressed + raw bodies) — see SECURITY.md
├── monitor/ — the keyless infrastructure tracker (check.sh, watchlist, findings, state)
├── tools/ — re-runnable analysis scripts (keyless; read keys from local files)
└── .github/workflows/ — the infra-monitor cron
```
## 如何使用此仓库
- **🔬 研究人员 / 威胁情报:** 从 [`docs/operation-dossier.md`](docs/operation-dossier.md) 开始,然后是
[`docs/kit-code-analysis.md`](docs/kit-code-analysis.md) 和可读性强的 [`kit-analysis/`](kit-analysis/)
重构。从 [`docs/indicators.csv`](docs/indicators.csv) 进行数据透视。
- **🛡️ CERT / 滥用响应部门:** [`docs/reporting-and-takedown.md`](docs/reporting-and-takedown.md) 列出了注册商、
主机和 CDN 联系人以及向每个机构请求什么内容;`indicators.csv` 已准备好被摄取。从
**运营者 B 的 AS210558 源站**开始,以获得最快的行动效果。
- **🧭 检测工程师:** 将上方的[检测特征](#detection-signatures)和
[`docs/kit-code-analysis.md`](docs/kit-code-analysis.md) 中的端点/token 表格作为即插即用的指纹。
- **📡 任何追踪该集群的人:** 向
[`monitor/watchlist.txt`](monitor/watchlist.txt) 添加根域或独特的名称片段,并运行 `bash monitor/check.sh`,或者关注本仓库的 Issues。
## 方法论
**仅限被动 OSINT + 静态分析:**
RDAP/WHOIS → CT 日志(crt.sh, certspotter) → 被动 DNS → 互联网范围扫描器 + 证书透视 →
HTTP 框架指纹识别 → urlscan 存储的响应主体 + 截图 → brotli/gzip 解压 →
工具包客户端 JavaScript 的静态分析 → 多源生态系统研究。DNS 始终通过公共解析器(1.1.1.1 / 8.8.8.8)进行解析。报告全程标有置信度
(**[H]** 已观测 · **[M]** 推断 · **[L]** 信号微弱 · **[NF]** 未发现,留空 · **[EXT]** 外部已发表
研究)。**没有为了填补空白而捏造任何内容。**
## 道德、范围与安全处理
这是**防御性安全研究**。所有数据均**被动**地从公开来源和工具包
公开提供的代码中获取;**未对任何运营者的基础设施进行访问、攻击或探测**。发布这些材料是为了帮助防御者**检测、报告并摧毁**该基础设施。
⚠️ **`kit-source/` 包含真实的、恶意的客户端钓鱼代码**(从 urlscan 的公开存档中恢复)。它
**仅限客户端**,并且**在没有运营者隐藏的服务器的情况下是无效的** — 但必须像处理任何恶意软件样本一样对待它。
危险子系统(可工作的卡片捕获/验证和伪装/规避)**刻意未被重构为
可代码**;仅在分析层面对其进行了描述。
**👉 在克隆或重新分发之前,请阅读 [`SECURITY.md`](SECURITY.md)** — 它涵盖了完整的道德声明、
推荐的私有仓库可见性,以及 `kit-source/` 的安全处理。
## 参考资料与延伸阅读
**本项目的证据:** urlscan 扫描 `019e9db1`, `019ec607`, `019c8c90`, `019c42ae`, `019e909c`(检索于
2026-06-15),保存在 `evidence/` 和 `screenshots/` 下。
**外部研究:** Group-IB — *"Classiscam $64.5M"*(2023 年 8 月)和 *"Classiscam in Europe"*;ESET WeLiveSecurity —
*"Telekopye"*(2023 年 8 月)和 *"…hotel booking scams"*(2024 年 10 月);Kaspersky/Securelist — *"Telegram phishing services"*
(2023 年 4 月);Perception Point — *"live chat support phishing"*(2024 年 7 月);NetBeacon — *"phishing concentrated in two
registrars"*(2025 年);abuse.ch URLhaus / ThreatFox (AS210558);CERT Polska / Orange CERT;CERT-AGID;D3Lab。
完整的引用列表见 [`docs/operation-dossier.md` §17](docs/operation-dossier.md)。
| |
| `subito.verifieer.cc` — 捕获于 2026-06-06 | `olx.express-paycore24.cyou` — 追踪器捕获于 2026-06-15 |
### urlscan.io 上公开、可独立验证的扫描
作为**公开**结果提交,任何人都可以独立验证该集群:
| 域名 | urlscan 结果 | 截图 |
|---|---|---|
| `subito.cam` | https://urlscan.io/result/019ed04a-9141-777f-bbfc-8a647c160bae/ | https://urlscan.io/screenshots/019ed04a-9141-777f-bbfc-8a647c160bae.png |
| `olx.express-paycore24.cfd` | https://urlscan.io/result/019ed04a-9fbf-748a-8226-9cbb121ea75c/ | https://urlscan.io/screenshots/019ed04a-9fbf-748a-8226-9cbb121ea75c.png |
`docs/` 中引用的历史扫描(UUID `019e9db1`, `019ec607`, `019ecbd3`, `019c42ae`, `019c8c90`, `019e909c`)是
**私下**捕获的。urlscan 不允许在提交后更改扫描的可见性,并且该集群的其余部分现在已是 NXDOMAIN,因此这些结果无法重新发布——每个结果的逐字副本(以及渲染的截图)连同 SHA-256 清单一起保存在 `evidence/` 和 `screenshots/` 下。随着追踪器捕获到新的实时域名,请提交每个域名的公开扫描并将其添加到此处。
## PhaaS 生态系统:其来源
此操作属于**市场快递-支付 PhaaS** 类别,由两个有记录的、**通过 Telegram 分发的**犯罪特许经营组织主导 `[EXT]`:
- **Classiscam** (Group-IB) — 通过 **Telegram 机器人提供的自动化诈骗即服务**。**自 2019 年以来有 1,366 个 Telegram 群组**;
**从 2020 年上半年到 2023 年上半年窃取了 6450 万美元**;**覆盖 79 个国家的 251 个品牌**;为拦截 3-D Secure 仿冒了**14 个国家/地区的 63 家银行**。受害最严重的地区:德国、波兰、西班牙、意大利。
- **Telekopye** (ESET) — 一个根据模板构建钓鱼页面的 **Telegram 机器人**;黑话将受害者称为*“Mammoths(猛犸象)”*,将骗子称为*“Neanderthals(尼安德特人)”*。**自 2021 年以来超过 500 万欧元**;部分已被捷克和乌克兰的 *"RIP"* 和
*"VICTORY"* 行动(2023 年底)捣毁。
这里分析的工具包在 TTPs 上完全属于 **Classiscam / Telekopye 级别** `[M]`,但其**特定构建在公开资料中未见记录 `[NF]`**,并且它通过**自托管 WebSockets + 实时帮助台控制台**进行数据外传,而不是这些特许经营组织典型的 Telegram 机器人外传——这是一个**更高级、定制化的构建** `[H]`。将生态系统映射视为*背景*,**而不是**对特定命名攻击者的归因。
## 仓库结构
```
.
├── README.md — this file
├── SECURITY.md — research-only ethics + how the kit source is handled
├── docs/ — reports + the indicator set
│ ├── operation-dossier.md — master write-up (scam, kit, infra, IOCs, ecosystem)
│ ├── kit-code-analysis.md — reverse-engineering teardown of the client bundle
│ ├── osint-findings.md — the original passive-OSINT findings
│ ├── reporting-and-takedown.md — who to notify and what to request
│ └── indicators.csv — machine-readable IOC set
├── screenshots/ — rendered captures of the live fake pages
├── evidence/ — raw OSINT (RDAP/CT/TLS/DNS/urlscan/captures + SHA-256 manifests)
├── kit-analysis/ — readable, annotated reconstruction of the kit's architecture
├── kit-source/ — the kit's own client JS (decompressed + raw bodies) — see SECURITY.md
├── monitor/ — the keyless infrastructure tracker (check.sh, watchlist, findings, state)
├── tools/ — re-runnable analysis scripts (keyless; read keys from local files)
└── .github/workflows/ — the infra-monitor cron
```
## 如何使用此仓库
- **🔬 研究人员 / 威胁情报:** 从 [`docs/operation-dossier.md`](docs/operation-dossier.md) 开始,然后是
[`docs/kit-code-analysis.md`](docs/kit-code-analysis.md) 和可读性强的 [`kit-analysis/`](kit-analysis/)
重构。从 [`docs/indicators.csv`](docs/indicators.csv) 进行数据透视。
- **🛡️ CERT / 滥用响应部门:** [`docs/reporting-and-takedown.md`](docs/reporting-and-takedown.md) 列出了注册商、
主机和 CDN 联系人以及向每个机构请求什么内容;`indicators.csv` 已准备好被摄取。从
**运营者 B 的 AS210558 源站**开始,以获得最快的行动效果。
- **🧭 检测工程师:** 将上方的[检测特征](#detection-signatures)和
[`docs/kit-code-analysis.md`](docs/kit-code-analysis.md) 中的端点/token 表格作为即插即用的指纹。
- **📡 任何追踪该集群的人:** 向
[`monitor/watchlist.txt`](monitor/watchlist.txt) 添加根域或独特的名称片段,并运行 `bash monitor/check.sh`,或者关注本仓库的 Issues。
## 方法论
**仅限被动 OSINT + 静态分析:**
RDAP/WHOIS → CT 日志(crt.sh, certspotter) → 被动 DNS → 互联网范围扫描器 + 证书透视 →
HTTP 框架指纹识别 → urlscan 存储的响应主体 + 截图 → brotli/gzip 解压 →
工具包客户端 JavaScript 的静态分析 → 多源生态系统研究。DNS 始终通过公共解析器(1.1.1.1 / 8.8.8.8)进行解析。报告全程标有置信度
(**[H]** 已观测 · **[M]** 推断 · **[L]** 信号微弱 · **[NF]** 未发现,留空 · **[EXT]** 外部已发表
研究)。**没有为了填补空白而捏造任何内容。**
## 道德、范围与安全处理
这是**防御性安全研究**。所有数据均**被动**地从公开来源和工具包
公开提供的代码中获取;**未对任何运营者的基础设施进行访问、攻击或探测**。发布这些材料是为了帮助防御者**检测、报告并摧毁**该基础设施。
⚠️ **`kit-source/` 包含真实的、恶意的客户端钓鱼代码**(从 urlscan 的公开存档中恢复)。它
**仅限客户端**,并且**在没有运营者隐藏的服务器的情况下是无效的** — 但必须像处理任何恶意软件样本一样对待它。
危险子系统(可工作的卡片捕获/验证和伪装/规避)**刻意未被重构为
可代码**;仅在分析层面对其进行了描述。
**👉 在克隆或重新分发之前,请阅读 [`SECURITY.md`](SECURITY.md)** — 它涵盖了完整的道德声明、
推荐的私有仓库可见性,以及 `kit-source/` 的安全处理。
## 参考资料与延伸阅读
**本项目的证据:** urlscan 扫描 `019e9db1`, `019ec607`, `019c8c90`, `019c42ae`, `019e909c`(检索于
2026-06-15),保存在 `evidence/` 和 `screenshots/` 下。
**外部研究:** Group-IB — *"Classiscam $64.5M"*(2023 年 8 月)和 *"Classiscam in Europe"*;ESET WeLiveSecurity —
*"Telekopye"*(2023 年 8 月)和 *"…hotel booking scams"*(2024 年 10 月);Kaspersky/Securelist — *"Telegram phishing services"*
(2023 年 4 月);Perception Point — *"live chat support phishing"*(2024 年 7 月);NetBeacon — *"phishing concentrated in two
registrars"*(2025 年);abuse.ch URLhaus / ThreatFox (AS210558);CERT Polska / Orange CERT;CERT-AGID;D3Lab。
完整的引用列表见 [`docs/operation-dossier.md` §17](docs/operation-dossier.md)。标签:Cutter, ESC4, OSINT, 后端开发, 妥协指标, 威胁情报, 库, 应急响应, 开发者工具, 欺诈防御, 钓鱼工具分析