Introdução

Durante o monitoramento de rotina de suspeitos desconto e domínios com tema de brindes, nossa equipe de pesquisa descobriu uma infraestrutura comercial de intermediação de tráfego operando em grande escala em várias regiões. Em vez de executar uma única campanha fraudulenta ou de phishing, essa infraestrutura é especializada em colhendo, perfilamento, e monetizando vítima tráfego, que é então encaminhado para os agentes de ameaças posteriores e, finalmente, redirecionando-os para os golpes de abate de porcos ou para a invasão de contas do Telegram.

A corretora opera centenas de sites de curta duração hospedados em domínios de primeiro nível (TLDs) descartáveis, como.xyz, .top e .cn. Todos esses sites aproveitam atrações temáticas de marca que fazem referência a organizações locais e internacionais conhecidas em ecossistemas bancários, de telecomunicações, de varejo, de companhias aéreas, de serviços públicos e de pagamento digital. É importante ressaltar que as marcas observadas não são os alvos finais em si, mas são usadas como âncoras de confiança para atrair usuários e aumentar o engajamento.

Para maximizar a eficácia, a infraestrutura localiza fortemente suas iscas. As páginas são adaptadas dinamicamente a países e regiões específicos, abusando de feriados nacionais, festivais religiosos, vendas sazonais e eventos públicos para criar urgência e legitimidade. Do ponto de vista do usuário, esses sites geralmente se parecem com microsites promocionais que anunciam brindes, recompensas em dinheiro, descontos ou ofertas exclusivas vinculadas a marcas conhecidas.

O kit de phishing geralmente filtra usuários não móveis verificando a plataforma usada para navegar até a página de phishing e as dimensões da janela. Isso torna ineficazes os mecanismos de verificação de URL que não lidam com esses casos. Esse comportamento nos permite concluir com segurança que plataformas de mensagens baseadas em dispositivos móveis, como WhatsApp, Telegram e Messenger, disseminam ativamente essa campanha.

A campanha usa a reputação de marcas locais e internacionais para parecer benigna. Encontramos mais de 300 marcas em 100 países sendo usadas

Alcance global: uma estrutura única de atração, localizada em grande escala

Um dos aspectos mais marcantes dessa campanha não é apenas seu volume, mas sua localização regional deliberada.

Com base em títulos de páginas de phishing espalhados por milhares de domínios, observamos a mesma estrutura de atração subjacente reutilizada globalmente, ao mesmo tempo em que foi cuidadosamente adaptada para:

• Idiomas e scripts locais

• Feriados nacionais e festivais religiosos

• Marcas, bancos, concessionárias e varejistas de confiança regional

Isso indica fortemente uma plataforma centralizada de intermediação de tráfego operando em escala global, em vez de phishing oportunista e específico de uma região. Identificamos mais de 300 marcas que estão sendo alvo dessa campanha.

Índia e Sul da Ásia: Mais direcionado com iscas temáticas relacionadas ao Dia da República, Dia da Independência e subsídios governamentais, localizadas nos principais idiomas indianos e marcas abusivas como Paytm, PhonePe, GPay, SBI, Jio e Reliance Retail.

Sri Lanka e Maldivas: Campanhas centradas em narrativas do Dia da Independência, recompensas de telecomunicações e bancos nacionais, personificando marcas como Dialog, SLTMobitel, SriLankan Airlines e Dhiraagu em tâmil, cingalês e inglês.

África Oriental e Austral: Alto volume de campanhas aproveitando promoções de Ano Novo, dados móveis gratuitos e subsídios de serviços públicos, com localização regional em suaíli, amárico e kinyarwanda e abuso da Safaricom, MTN, Equity Bank e TANESCO.

Oriente Médio e Irã: Iscas estreitamente alinhadas com feriados islâmicos, como Ramadã e Eid, personificando Digikala, Snapp! , Qatar Airways e bancos regionais, entregues em persa, árabe e urdu.

América Latina: Iscas espanholas e portuguesas bem localizadas que exploram brindes de Ano Novo, promoções de carnaval e feriados nacionais, abusando de marcas como Nequi, Banco Pichincha, Assaí Atacadista e Chedraui.

Europa, América do Norte e Leste Asiático—Atividade de menor volume, mas persistente, voltada para marcas de varejo e companhias aéreas, como Lidl, Costco, REWE, Air Canada e American Airlines, normalmente enquadradas como campanhas de recompensa de aniversário ou Ano Novo.
‍

[Clique aqui para baixar o artigo de pesquisa completo]