Pesquisadores de segurança cibernética revelaram dois agentes de ameaças que orquestram golpes de investimento por meio de endossos falsos de celebridades e ocultam suas atividades por meio de sistemas de distribuição de tráfego (TDSes).
Os grupos de atividades foram batizados de Reckless Rabbit e Ruthless Rabbit pela empresa de inteligência de ameaças de DNS Infoblox.
Observou-se que os ataques atraem vítimas com plataformas falsas, incluindo corretoras de criptomoedas, que são então anunciadas em plataformas de mídia social. Um aspecto importante desses golpes é o uso de formulários da web para coletar dados do usuário.
“O Reckless Rabbit cria anúncios no Facebook que levam a notícias falsas com o endosso de uma celebridade à plataforma de investimentos”, disseram os pesquisadores de segurança Darby Wise, Piotr Glaska e Laura da Rocha . “O artigo inclui um link para a plataforma fraudulenta que contém um formulário web incorporado que persuade o usuário a inserir suas informações pessoais para ‘se cadastrar’ na oportunidade de investimento.”
Alguns desses formulários, além de solicitar nomes de usuários, números de telefone e endereços de e-mail, oferecem a capacidade de gerar automaticamente uma senha, uma informação essencial que é usada para avançar para a próxima fase do ataque: verificações de validação.
Os agentes de ameaças realizam solicitações HTTP GET para ferramentas legítimas de validação de IP, como ipinfo[.]io, ipgeolocation[.]io ou ipapi[.]co, para filtrar tráfego de países nos quais não estão interessados. Também são realizadas verificações para garantir que os números e endereços de e-mail fornecidos sejam autênticos.
Caso o usuário seja considerado digno de exploração, ele é posteriormente encaminhado por meio de um TDS que o leva diretamente para a plataforma fraudulenta, onde é persuadido a abrir mão de seus fundos com promessas de altos retornos, ou para uma página diferente que o instrui a aguardar uma ligação de seu representante.
“Algumas campanhas usam call centers para fornecer às vítimas instruções sobre como abrir uma conta e transferir dinheiro para a plataforma de investimento falsa”, explicaram os pesquisadores. “Para usuários que não passam na etapa de validação, muitas campanhas simplesmente exibem uma página de agradecimento.”
Um aspecto importante da atividade é o uso de um algoritmo de geração de domínio registrado ( RDGA ) para configurar nomes de domínio para plataformas de investimento duvidosas, uma técnica também adotada por outros agentes de ameaças, como Prolific Puma, Revolver Rabbit e VexTrio Viper.
Ao contrário dos algoritmos tradicionais de geração de domínio (DGAs), os RDGAs utilizam um algoritmo secreto para registrar todos os nomes de domínio. Diz-se que o Reckless Rabbit vem criando domínios desde abril de 2024, visando principalmente usuários na Rússia, Romênia e Polônia, excluindo tráfego do Afeganistão, Somália, Libéria, Madagascar e outros.
Os anúncios do Facebook usados para direcionar os usuários a artigos de notícias falsas são intercalados com conteúdo publicitário relacionado a itens listados para venda em mercados como a Amazon, em uma tentativa de evitar a detecção e ações de fiscalização.
Além disso, os anúncios contêm imagens não relacionadas e exibem um domínio falso (por exemplo, “amazon[.]pl”) que é diferente do domínio real para o qual o usuário será redirecionado ao clicar no link (por exemplo, “tyxarai[.]org”).
Por outro lado, acredita-se que o Ruthless Rabbit esteja ativamente executando campanhas fraudulentas de investimento desde pelo menos novembro de 2022, direcionadas a usuários do Leste Europeu. O que diferencia esse agente de ameaças é que ele administra seu próprio serviço de camuflagem (“mcraftdb[.]tech”) para realizar verificações de validação.
Os usuários que passam pelas verificações são posteriormente encaminhados para uma plataforma de investimento, onde são solicitados a inserir suas informações financeiras para concluir o processo de registro.
“Um TDS permite que os agentes de ameaças fortaleçam sua infraestrutura, tornando-a mais resiliente ao fornecer a capacidade de ocultar conteúdo malicioso de pesquisadores de segurança e bots”, disse a Infoblox.
Esta não é a primeira vez que campanhas fraudulentas de investimento deste tipo são descobertas. Em dezembro de 2024, a ESET expôs um esquema semelhante, denominado Nomani, que utiliza uma combinação de malvertising em redes sociais, publicações com a marca da empresa e depoimentos em vídeo com inteligência artificial (IA) de personalidades famosas.
No mês passado, as autoridades espanholas revelaram que prenderam seis indivíduos com idades entre 34 e 57 anos por supostamente executarem um golpe de investimento em criptomoedas em larga escala que usava ferramentas de IA para gerar anúncios deepfake com figuras públicas populares para enganar as pessoas.
Renee Burton, vice-presidente de inteligência de ameaças da Infoblox, disse ao The Hacker News que eles “teriam que analisar mais de perto para ver se há alguma evidência” para verificar se há alguma conexão entre essas atividades e aquelas conduzidas pela Reckless Rabbit e pela Ruthless Rabbit.
“Agentes de ameaças como Reckless e Ruthless Rabbits serão implacáveis em suas tentativas de enganar o maior número possível de usuários”, disseram os pesquisadores. “Como esses tipos de golpes se mostraram altamente lucrativos para eles, eles continuarão a crescer rapidamente — tanto em número quanto em sofisticação.”
Golpes de Caixas Misteriosas Proliferam por Meio de Anúncios no Facebook#
O desenvolvimento ocorre no momento em que a Bitdefender alerta sobre um aumento em golpes sofisticados de assinatura que usam uma rede de mais de 200 sites falsos e convincentes para enganar os usuários, fazendo-os pagar assinaturas mensais e compartilhar seus dados de cartão de crédito.
“Criminosos criam páginas no Facebook e publicam anúncios completos para promover o já clássico golpe da ‘caixa misteriosa’ e outras variantes”, afirmou a empresa romena . “O golpe da ‘caixa misteriosa’ evoluiu e agora inclui pagamentos recorrentes quase ocultos, além de links para sites de diversas lojas. O Facebook é usado como a principal plataforma para esses novos e aprimorados golpes da caixa misteriosa.”
Os anúncios patrocinados desonestos anunciam liquidações de marcas como Zara ou oferecem uma chance de comprar uma “caixa misteriosa” contendo produtos da Apple e tentam atrair usuários alegando que eles podem adquirir um deles pagando uma quantia mínima de dinheiro, às vezes tão baixa quanto US$ 2.
Os cibercriminosos usam vários truques para driblar os esforços de detecção, incluindo a criação de várias versões do anúncio, das quais apenas uma é maliciosa, enquanto as outras exibem imagens aleatórias do produto.
Esses golpes, como os perpetrados por Reckless Rabbit e Ruthless Rabbit, incorporam um componente de pesquisa para garantir que as vítimas sejam pessoas reais e não bots. Além disso, as páginas de pagamento induzem usuários desavisados a um programa de assinatura que gera receitas recorrentes para os autores das ameaças, sob o pretexto de oferecer-lhes um desconto.
“Os criminosos têm injetado fundos em anúncios promovendo criadores de conteúdo personificados, usando o mesmo modelo de assinatura que parece ser agora a principal fonte de receita desses golpes”, disseram os pesquisadores da Bitdefender, Răzvan Gosa e Silviu Stahie.
Os golpistas costumam trocar as marcas falsificadas e começaram a expandir suas operações para além das caixas misteriosas existentes. Agora, eles tentam vender produtos de baixa qualidade ou artigos falsificados, investimentos falsos, suplementos e muito mais.
Tesouro dos EUA aplica sanções a milícias ligadas à junta em Mianmar por causa de complexos fraudulentos
As descobertas também ocorrem após uma onda de sanções impostas pelo Departamento do Tesouro dos EUA contra o Exército Nacional Karen (KNA), ligado a Mianmar, por auxiliar sindicatos do crime organizado a operar esquemas fraudulentos multibilionários , além de facilitar o tráfico de pessoas e o contrabando transfronteiriço.
As ações também têm como alvo o líder do grupo, Saw Chit Thu, e seus dois filhos, Saw Htoo Eh Moo e Saw Chit Chit. Saw Chit Thu foi sancionado pelo Reino Unido em 2023 e pela União Europeia em 2024 por se tornar um dos principais facilitadores de operações fraudulentas na região.
“Operações de golpes cibernéticos, como as comandadas pelo KNA, geram bilhões em receitas para os chefões do crime e seus associados, ao mesmo tempo em que privam as vítimas de suas economias arduamente conquistadas e de sua sensação de segurança”, disse o vice-secretário Michael Faulkender.
Nesses chamados golpes de isca romântica, os fraudadores — que são atraídos para os sites fraudulentos por meio de empregos bem remunerados — são coagidos a atacar estranhos on-line, construindo um relacionamento com eles ao longo do tempo e, então, induzindo-os a investir em criptomoedas falsas e plataformas de negociação controladas pelos criminosos.
“O KNA lucra com esquemas de golpes cibernéticos em escala industrial, arrendando terras que controla para outros grupos do crime organizado e fornecendo apoio ao tráfico de pessoas, ao contrabando e à venda de serviços públicos usados para fornecer energia para operações fraudulentas”, afirmou o Departamento do Tesouro. “O KNA também fornece segurança em instalações fraudulentas no estado de Karen.”
O Escritório das Nações Unidas sobre Drogas e Crime (UNODC) divulgou no mês passado que os centros de fraude continuam se expandindo, apesar das recentes repressões, gerando lucros anuais de cerca de US$ 40 bilhões.
Fonte: https://thehackernews.com/2025/05/new-investment-scams-use-facebook-ads.html acesso em 28.05.2025 às 10:36
