Pesquisadores de cibersegurança estão alertando para um novo tipo de golpe de investimento que explora uma combinação de malvertising em redes sociais, publicações com marca de empresas e testemunhos em vídeo impulsionados por inteligência artificial (AI) com a participação de personalidades famosas, resultando em perdas financeiras e de dados.
"O principal objetivo dos fraudadores é conduzir as vítimas para websites e formulários de phishing que coletam suas informações pessoais", notou a ESET em seu Relatório de Ameaças H2 2024 compartilhado.
A empresa eslovaca de cibersegurança está monitorando a ameaça sob o nome Nomani, um jogo de palavras com a frase "sem dinheiro" ("no money").
Segundo ela, o golpe cresceu mais de 335% entre o primeiro (H1) e o segundo semestre (H2) de 2024, com mais de 100 novos URLs detectados diariamente em média entre maio e novembro de 2024.
Os ataques acontecem por meio de anúncios fraudulentos em plataformas de redes sociais, em vários casos visando pessoas que já foram vítimas de golpes, utilizando iscas relacionadas à Europol e à INTERPOL sobre entrar em contato para obter ajuda ou receber de volta o dinheiro roubado clicando em um link.
Esses anúncios são publicados a partir de uma mistura de perfis falsos e legítimos roubados associados a pequenas empresas, entidades governamentais e microinfluenciadores com dezenas de milhares de seguidores.
Outros canais de distribuição incluem o compartilhamento desses posts no Messenger e no Threads, assim como a publicação de reviews positivos de maneira enganosa no Google.
"Outro grande grupo de contas que frequentemente divulgam os anúncios do Nomani são perfis recém-criados com nomes de fácil esquecimento, um punhado de seguidores e muito poucas postagens", destacou a ESET.
Os websites para os quais esses links direcionam têm sido encontrados solicitando informações de contato e imitando visualmente mídias locais de notícias; abusando de logos e branding de organizações específicas; ou alegando anunciar soluções de gestão de criptomoedas com nomes que mudam constantemente, como Quantum Bumex, Immediate Mator ou Bitcoin Trader.
Em uma etapa seguinte, os cibercriminosos usam os dados coletados dos domínios de phishing para ligar diretamente para as vítimas e manipulá-las a investir seu dinheiro em produtos de investimento inexistentes que mostram falsamente ganhos fenomenais.
Em alguns casos, as vítimas são enganadas para contrair empréstimos ou instalar aplicativos de acesso remoto em seus dispositivos.
"Quando essas 'investidoras' vítimas solicitam o pagamento dos lucros prometidos, os golpistas as forçam a pagar taxas adicionais e fornecer mais informações pessoais, como identidade e informações do cartão de crédito", disse a ESET.
No final, os fraudadores levam tanto o dinheiro quanto os dados e desaparecem – seguindo o típico golpe de 'engordar o porco'.
Há evidências que sugerem que o Nomani é obra de atores de ameaças de língua russa, dado a presença de comentários de código-fonte em cirílico e o uso de ferramentas Yandex para rastreamento de visitantes.
Semelhante a grandes operações de golpe como o Telekopye, suspeita-se que existam diferentes grupos encarregados de gerenciar cada aspecto da cadeia de ataque: roubo, criação e abuso de contas e anúncios Meta, construção da infraestrutura de phishing e operação dos call centers.
"Usando técnicas de engenharia social e construindo confiança com as vítimas, os golpistas muitas vezes superam até mesmo os mecanismos de autorização e as chamadas de verificação telefônica que os bancos usam para prevenir fraudes", disse a ESET.
Este desenvolvimento surge enquanto agências de aplicação da lei da Coreia do Sul disseram ter desmantelado uma grande rede de fraude que defraudou quase 6,3 milhões de dólares de vítimas com plataformas de negociação online falsas como parte de uma operação chamada MIDAS.
Mais de 20 servidores utilizados pelo anel de fraude foram apreendidos e 32 pessoas envolvidas no esquema foram presas.
Além de atrair vítimas com SMS e chamadas telefônicas, usuários dos programas ilícitos de sistema de negociação em casa (HTS) foram atraídos a investir seus fundos assistindo vídeos no YouTube e participando de salas de bate-papo no KakaoTalk.
"O programa se comunica com os servidores de corretoras reais para obter informações de preços de ações em tempo real e usa bibliotecas de gráficos disponíveis publicamente para criar representações visuais", disse o Instituto de Segurança Financeira (K-FSI) em uma apresentação na conferência Black Hat Europe na semana passada.
No entanto, nenhuma negociação de ações real é feita.
Em vez disso, a principal característica do programa, uma função de captura de tela, é usada para espionar as telas dos usuários, coletar informações não autorizadas e recusar a devolução do dinheiro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...