DCloudのUni-Appフレームワーク、236,000以上の詐欺ドメインを生成——グローバル詐欺エコノミーを支える基盤に

DCloud Uni-Appは詐欺の量産基盤となっており、偽の取引所、ウォレットドレイナー、フィッシングポータル、投資詐欺スキームなど、236,000以上の個別詐欺ドメインが同フレームワークを中心とした巨大なエコシステムに紐づいています。

この規模が示す重要な事実は、詐欺操作がもはや個別に作り込まれたものではなく、テンプレート化・反復可能で、言語・地域・ホスティングプロバイダーを問わず容易に複製できる状態になっているということです。

調査の核心は、DCloud Uni-App自体が悪意あるツールであるということではなく、そのデフォルトのビルドパターンが脅威アクターによって組織的に再利用され、産業規模で詐欺が展開されているという点にあります。

本調査では、2022年以降に詐欺活動に関与した第2レベルドメインが少なくとも236,493件確認されており、2024年末のRainbowExに対する公的な注目を契機として急激な増加が見られます。

この変化が防御者にとって重要なのは、露出がそれぞれ孤立したキャンペーンではなく、共有インフラによって引き起こされていることを示唆しているためです。

実際には、同一のフレームワークが、偽の暗号資産取引所、投資ダッシュボード、WhatsAppやメッセージングアプリのフィッシング、ブランドなりすまし、そして表面上は地域限定に見えながら技術的なDNAを共有するギャンブル型詐欺まで、幅広く悪用されています。

アルゼンチンのRainbowExはこのパターンを世間に知らしめた事例ですが、それははるかに大規模なネットワークにおける一つの可視ノードにすぎませんでした。

被害者は、架空の取引活動、ステーブルコインによる入金、そして出金のブロックという経験をしており、これらは現代のピッグバッチャリング詐欺や入金・取引詐欺の典型的な手口です。

DCloudで構築された投資詐欺の個別SLDは、2022年半ば以降で236,000件以上が確認されており、多数のプロバイダーにまたがってホスティングされています。

Image

技術的な要点は、取引所のインターフェース、会員登録フロー、アプリ構造のいずれもが、DCloud Uni-Appのスキャフォールディングを基盤として構築されているという点です。

Infoblox脅威インテリジェンスの調査により、詐欺インフラとして特定された少なくとも236,493の個別第2レベルドメイン——RainbowEx型の偽暗号資産取引所を含む——の技術的基盤が明らかになりました。

同一のスキャフォールディングは、正規の金融サービスを装いながら、招待コードで制限されたファネルや、プラットフォーム外チャット、そして出金が事実上不可能な経路へ被害者を誘導する別の詐欺操作にも使用されています。

DCloud Uni-Appフレームワークの特徴

このエコシステムが際立って適応力を持つのは、特定のホスティング形式や特定の運営グループに依存していないためです。確認されたドメインの大部分は、CloudflareやAlibaba Cloud、Tencent Cloud、AWSといった主流インフラ上に存在しており、詐欺サイトが正規のトラフィックに紛れ込みやすい状況を作り出しています。

このカテゴリに属するサイトは、HKEX(香港取引所)やNasdaq、テスラをテーマにした暗号資産プログラムのほか、実在の取引所を連想させる「DawnEX」や「CoinexPro」といった汎用名称など、本物の金融ブランドになりすますケースが多く見られます。

Image

数は少ないものの、より高度な手口を使うグループはバレットプルーフホスティングを利用しており、特にCTG Serverは、最も撲滅困難なクラスターで繰り返し確認されています。

一部の運営者はDCloudのフィンガープリントを削除・改ざんして検出を回避しており、こうした回避的なサイトはより耐性の高いホスティングを使用する傾向があるため、防御側にとって持続性への対処や排除コストが高くなります。

本記事のより広範なセキュリティ上の教訓は、消費者向け詐欺が今やエンタープライズレベルのテレメトリを生み出しているという点です。従業員が個人デバイス、自宅、そして職場ネットワークでこうした詐欺に遭遇するためです。

調査の背景にあるデータセットには、DCloudが構築した詐欺インフラへの500万件以上のエンタープライズDNSクエリが含まれており、消費者向け詐欺がいかに頻繁に企業環境に侵入しているかを示しています。

セキュリティチームが取るべき実践的な対応は、ドメインレベルのブロッキング、行動ベースの検出、そして投資詐欺を対象に含めたセキュリティ意識向上トレーニングです。

エンドポイントセキュリティソフトウェア

XAEL-AIは同じエンジンを異なる外装で包んでいます。未来的な自転車投資プラットフォームではなく、「AI投資」というナラティブを前面に打ち出している点が特徴です。

Image

また、公式に見える書類、アプリストア風のインターフェース、登録済み法人といった要素が正当性を意味しないということも、改めて認識しておく必要があります。特に、国境をまたぐ詐欺エコシステムにおいてはなおさらです。

いくつかの関連テーマがこの実態をより鮮明にしています。詐欺は多言語対応しており、中国語、スペイン語、ポルトガル語、英語話者を標的にするケースが多く、友人を勧誘するダイナミクスに依存しています。さらに、オンラインでの欺瞞と実店舗や偽の法人登録を組み合わせる手口も増加しています。

この組み合わせにより、エコシステムは通常のフィッシングよりも撲滅が困難になっています。ソフトウェアの再利用、ソーシャルエンジニアリング、信頼性の演出が一つの反復可能な詐欺モデルに統合されているためです。

同レポートはさらに、ネットワークの一部を支える集中化された運営者層の存在を示唆しており、摘発においては個別ドメインではなく共有インフラに焦点を当てる必要がある可能性を指摘しています。

IoC(侵害の痕跡)

インジケーター 説明
rainbowex[.]ccnasdaqpro[.]topfutureblockchain[.]netkirbycoco[.]ccclintile[.]comdatashareclub[.]com 偽の暗号資産取引所および「不労所得」型投資プラットフォーム
bepviews[.]com 暗号資産ウォレットドレイナー
lsscapp[.]comlssc-canada[.]calightacer[.]comlsscol[.]com LSSC投資詐欺ドメイン
ystl03106[.]topys904[.]topaqy.dot02ig[.]cfd Yuechi Sharing Technology Ltd.関連ドメイン
xaai3xj[.]comxaaitbb[.]com XAEL-AI投資詐欺
polymk[.]commango-cleopatrapg[.]comdeepseekpg[.]betjp7[.]com 予測市場・ギャンブル(「スキャンブリング」)のなりすまし
whats-zwp[.]vipwhats-zrs[.]vipwhats-zef[.]vipwhats-zea[.]vipwhats-zus[.]vipwhats-zei[.]vipwhats-zen[.]vipfaq-whatsapp-center[.]comverify-what[.]com WhatsAppおよびメッセージングプラットフォームのフィッシング
allegro-stroe[.]comallegro-stroe[.]shopallegro-stroe[.]ccallegro-stroe[.]cyouallegrostroe[.]comallegrostroe[.]ccallegrostroe[.]shopallegrostroe[.]cyouallegroau[.]comallegroau[.]cccorreoargentino-comarr[.]topk-usdt[.]comusdtflow[.]netenergy5[.]cyouforwarsprite[.]comg3user[.]commypal[.]proinetcontrol[.]netm0vrsq6[.]top その他の詐欺ドメイン

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。リファング(元の形式への復元)は、MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://gbhackers.com/dcloud-uni-app-framework/

ソース: gbhackers.com