“过去两年,利用DCloud框架搭建的诈骗网站规模急剧扩大,幕后操纵者不断推出复杂的现实骗局来诱骗受害者。”上周发布的详尽报告中,网络安全公司Infoblox的这番表述,揭开了全球大规模网络诈骗活动中一个令人意外的支点——一款合法国产开源跨平台应用开发框架DCloud Uni-App,正被系统性用于生成投资骗局模板。
Infoblox公布的最新数据触目惊心:超过236,000个网站使用了基于DCloud Uni-App制作的投资诈骗模板,波及236,493个不同的二级域名。这些站点扮演着五花八门的角色——虚假加密货币交易所、支持多语言的“杀猪盘”运营后台、WhatsApp钓鱼网络、被操纵结果的赌博平台、品牌冒充站点以及加密货币钱包清空器。从仿冒主流证券交易所到零售巨头,再到即时通讯平台,诈骗品牌的外衣几乎覆盖了大众日常接触的商业符号。
关于这些诈骗模板的来源,报告呈现出两条相互拉扯的判断线索。一方面,Infoblox评估认为,有未知威胁行为者正在出售DCloud投资诈骗模板。另一方面,又有迹象表明,相当一部分DCloud架构的诈骗网站存在集中控制。支撑后一发现的关键证据是,在不同主机服务商上监测到的新域名注册量出现了同步下降。这种跨托管商的注册行为趋同,意味着背后可能有一个集中化组织要么遭受了打击,要么在协调一致地对旗下DCloud诈骗站点进行调整。此外,特定的技术指纹、与受害者的通讯方式以及托管选择,都进一步强化了集中运营的判断。
臭名昭著的RainbowEx平台就是此次被识别的域名之一。这间虚假加密货币交易所在2024年底因运作庞氏骗局登上新闻头条,导致阿根廷圣佩德罗地区数以万计的居民受害。同年晚些时候,七名与该骗局有关的嫌疑人被执法部门逮捕。这起案例折射出DCloud模板诈骗链条的真实破坏力,也说明模板的易得性正在降低大规模诈骗的技术门槛。
Infoblox特别强调,使用DCloud框架本身并不代表恶意企图。但被滥用的站点依然呈现出显著的共性特征:虚假的经纪商界面、诱导受害者连接钱包的提现提示、被后台控制的赌博界面、仿冒品牌的虚假店铺,以及依赖防弹托管来对抗关停。这些特征不因诈骗语言或目标地域而改变,从2022年中至今持续活跃,并已渗透到每一块大陆,至少覆盖八种语言的使用者。
从DCloud特征识别出的域名中可以清晰分离出两类既有关联又彼此不同的群体。第一类是自2021年起携带DCloud Uni-App框架基础签名的站点,其中既有中国境内的合法商业网站,也混杂着恶意操作;第二类则是从2022年中开始活跃的投资诈骗专属子集。一个反直觉的发现是,投资诈骗团伙的总体数量实际上远超单纯靠DCloud框架默认指纹所能标记出的规模。Infoblox的解释是,更老练的操纵者已经剥离了默认的DCloud脚手架,以此规避基于指纹的识别。这意味着,实际利用该框架的诈骗基础设施可能比已知数字更为庞大。
套用合法开发框架来快速搭建欺诈站点,并不是网络犯罪圈的新手段,但超过23万个域名的规模化应用,仍然让DCloud Uni-App成为了一个无法被忽视的犯罪供应链节点。当开源工具的便利性遇上模板化的骗局生产模式,防守方需要权衡的是,如何在不伤及合法开发者生态的前提下,阻断框架被武器化的通道。这份报告的价值,在于为这种权衡标定了一个不容乐观的基准线。
热门跟贴