Pesquisadores da Unit 42 da Palo Alto Networks descobriram dezenas de campanhas de golpes direcionadas a potenciais vítimas em diversos países, incluindo Canadá, México, França, Itália, Turquia, República Tcheca, Singapura, Cazaquistão e Uzbequistão. Devido às semelhanças táticas e de infraestrutura, eles estimam que muitas dessas ações sejam originadas de um único grupo cibercriminoso.
Em junho de 2024, centenas de domínios foram descobertos sendo utilizados para promover esses golpes, e foi documentado que cada domínio foi acessado, em média, 114 mil vezes no mundo todo desde que foram ativados, conforme a telemetria de DNS passivo (pDNS) da Unit 42.
Por meio de diferentes campanhas, diversos vídeos foram gerados e amplamente compartilhados pelos cibercriminosos em sites pertencentes a domínios recém-registrados. Após investigações mais aprofundadas, os especialistas identificaram que os materiais audiovisuais estavam hospedados, em sua maioria, em um único domínio: Belmar-marketing.online.
Modus operandi
Os primeiros vídeos disseminaram uma campanha promovendo um esquema de investimento chamado Quantum AI. Os pesquisadores estudaram a produção em questão para acompanhar sua disseminação ao longo do tempo. Por meio da infraestrutura utilizada, várias outras campanhas foram reveladas em diferentes partes do mundo.
Os criminosos aplicaram temas completamente diferentes em suas várias tentativas de golpe, desenvolvidas em diversos idiomas, utilizando a imagem de figuras públicas e líderes empresariais, sugerindo que cada campanha foi projetada para alcançar um público-alvo diferente.
Na maioria dos casos, um áudio falso, gerado por Inteligência Artificial, era adicionado a um vídeo legítimo. Finalmente, foi utilizada tecnologia de sincronização labial para modificar os movimentos do orador, ajustando-os ao áudio manipulado. Em parte considerável dos conteúdos, a imagem de Elon Musk foi utilizada, embora outras personalidades públicas também tenham sido identificadas.
Geralmente, os grupos que criam esses golpes utilizam, a princípio, anúncios em redes sociais ou notícias falsas para direcionar os usuários a páginas web fictícias, que solicitam informações de contato das vítimas.
Após o usuário visitar a página inicial enganosa e preencher um formulário de inscrição, um dos golpistas liga para o mesmo. Durante a chamada, é informada a necessidade de pagar um valor inicial para obter acesso à plataforma.
Posteriormente, o atacante instrui as vítimas a baixarem um aplicativo para que possam “investir” mais dinheiro. Dentro do aplicativo, um painel exibe pequenos lucros. A partir disso, os criminosos continuam a persuasão para que sejam depositados valores monetários ainda maiores, e podem até permitir que seja retirada uma pequena quantia, como forma de conquista da confiança do alvo.
Por fim, quando as pessoas lesadas tentam sacar os fundos, são solicitadas taxas de saque ou informados outros motivos pelos quais o dinheiro não pode ser retirado. Neste ponto, os criminosos bloqueiam a conta, retendo o restante dos fundos, levando as vítimas a perderem grande parte do que investiram na “plataforma”.
Apesar do uso de Inteligência Artificial Generativa (GenAI) nessas campanhas, técnicas tradicionais de investigação ainda são úteis para identificar a infraestrutura de hospedagem usada pelos agentes enganadores. No entanto, à medida que o uso malicioso da tecnologia cresce, a capacidade e sofisticação dos sistemas de segurança para detectar e prevenir proativamente esse tipo de ataque também deve aumentar.