Pesquisadores de cibersegurança divulgaram detalhes de uma campanha de fraude em telecomunicações que usa falsos truques de verificação CAPTCHA para enganar usuários desatentos e fazê-los enviar mensagens SMS internacionais que geram cobranças na conta do celular.
O esquema cria receita ilícita para os threat actors que alugam os números de telefone.
Segundo um novo relatório da Infoblox, a operação estaria ativa desde pelo menos junho de 2020 e combina técnicas de engenharia social com o sequestro do botão voltar nos navegadores.
Foram observados até 35 números de telefone, distribuídos por 17 países, como parte da campanha de fraude de compartilhamento de receita internacional, conhecida pela sigla IRSF.
“O falso CAPTCHA tem várias etapas, e cada mensagem criada pelo site é pré-configurada com mais de uma dúzia de números de telefone, o que significa que a vítima não paga por apenas uma mensagem.
Ela é cobrada pelo envio de SMS para mais de 50 destinos internacionais”, disseram os pesquisadores David Brunsdon e Darby Wise em uma análise.
“Esse tipo de golpe também se beneficia da cobrança tardia, já que os encargos de ‘SMS internacional’ muitas vezes aparecem na fatura semanas depois, quando a experiência com o falso CAPTCHA já foi totalmente esquecida.”
O que torna a ameaça relevante é a combinação de fraude de compartilhamento de receita com sistemas maliciosos de distribuição de tráfego, os TDSs.
A operação usa uma infraestrutura tradicionalmente associada ao redirecionamento de tráfego para páginas de malware ou phishing, por meio de cadeias de redirecionamento usadas para evitar detecção, para aplicar golpes de SMS em grande escala.
Os esquemas de IRSF envolvem fraudadores que obtêm de forma ilegal números internacionais premium rate, os IPRN, ou faixas de numeração, e inflacionam artificialmente o volume de chamadas ou mensagens internacionais enviadas para esses números.
Assim, eles recebem uma parte da receita gerada por essas comunicações.
Nesse contexto, a taxa de terminação é a cobrança entre operadoras paga pela operadora de origem à operadora de destino para concluir uma chamada em sua rede.
É a exploração desses acordos de compartilhamento de receita que alimenta a IRSF, já que a operadora de origem acaba pagando taxas de terminação para a rede de destino em chamadas de alto custo, e uma parte desse valor é dividida com os fraudadores.
A Infoblox informou que a campanha observada registra números de telefone em países com taxas de terminação altas ou regulação frouxa, como Azerbaijão, Cazaquistão e algumas faixas premium na Europa, e conta com a conivência de provedores locais de telecomunicações para executar o golpe.
O funcionamento da campanha é o seguinte: o usuário é redirecionado para uma página falsa por meio de um TDS comercial, que exibe um CAPTCHA com a instrução para enviar um SMS e “confirmar que é humano”.
Isso aciona uma cadeia de “verificação” em várias etapas, com cada fase disparando uma mensagem SMS separada para números definidos pelo servidor, por meio da abertura programática dos aplicativos de SMS em dispositivos Android e iOS, já com os números e o conteúdo da mensagem preenchidos.
Nesse processo, chegam a ser enviadas até 60 mensagens SMS para 15 números únicos após quatro etapas de CAPTCHA, o que pode custar cerca de US$ 30 ao usuário.
Embora seja um valor relativamente baixo, a empresa de inteligência de ameaças baseada em DNS alertou que, em escala, isso pode render muito dinheiro para o threat actor.
A lista de números de telefone abrange 17 países, entre eles Azerbaijão, Países Baixos, Bélgica, Polônia, Espanha e Turquia.
A campanha depende fortemente de cookies para acompanhar o progresso na falsa sequência de verificação, usando valores armazenados em certos cookies, como “successRate”, para definir a próxima ação.
Se um usuário for considerado inadequado para a campanha, a página foi projetada para redirecioná-lo para uma página CAPTCHA totalmente diferente, provavelmente vinculada a uma campanha separada ou controlada por outro agente.
Outra estratégia nova adotada pelos operadores do golpe é o sequestro do botão voltar.
A técnica usa JavaScript para alterar o histórico de navegação de modo que qualquer tentativa de sair da página CAPTCHA ao clicar no botão voltar do navegador redirecione o usuário novamente para a página falsa, prendendo a vítima em um ciclo de navegação até que ela opte por fechar o navegador por completo.
A cadeia de redirecionamento leva a uma página falsa de CAPTCHA.
“Essa operação engana simultaneamente indivíduos e operadoras de telecomunicações.
As vítimas individuais enfrentam cobranças inesperadas de SMS premium na fatura e teriam dificuldade para identificar e relatar a fraude quando ela vem de uma fonte tão inesperada”, concluiu a Infoblox.
“As operadoras de telecomunicações pagam compartilhamento de receita aos autores do golpe, ao mesmo tempo em que provavelmente absorvem as perdas decorrentes de disputas de clientes ou estornos.”
Como threat actors abusam do Keitaro TDS
A revelação ocorreu quando a empresa, em parceria com a Confiant, publicou uma análise em três partes detalhando como o Keitaro TDS, também chamado Keitaro Tracker, vem sendo abusado por uma ampla variedade de threat actors em atividades maliciosas, incluindo entrega de malware, roubo de criptomoedas e golpes de investimento que afirmam usar AI para automatizar negociações e prometem retornos elevados.
O golpe usa anúncios no Facebook para atrair vítimas a plataformas fraudulentas com suposta AI.
Em alguns casos, os criminosos chegam a forjar endossos de celebridades por meio de notícias falsas e vídeos deepfake para promover o esquema de investimento.
O uso desses vídeos sintéticos foi atribuído a um threat actor apelidado de FaiKast.
“O Keitaro é, antes de tudo, um rastreador de desempenho de publicidade hospedado pelo próprio usuário, projetado para rotear visitantes de forma condicional usando fluxos”, disseram as empresas.
“Os threat actors reaproveitam esse mecanismo, transformando um servidor Keitaro em uma ferramenta completa que atua como sistema de distribuição de tráfego, rastreador e camada de ocultação.”
Ao todo, mais de 120 campanhas distintas abusaram do TDS do Keitaro para entrega de links em um período de quatro meses, entre outubro de 2025 e janeiro de 2026.
A Infoblox observou que seus clientes registraram cerca de 226.000 consultas DNS associadas a 13.500 domínios ligados à atividade com Keitaro nesse intervalo.
Após a divulgação responsável, o próprio Keitaro cancelou mais de uma dezena de contas relacionadas a essas ações.
“Ao combinar um tema de fraude de investimento antigo, mas ainda muito eficaz, com tecnologias modernas de AI, os agentes conseguiram lançar campanhas cibernéticas convincentes em larga escala”, disseram a Infoblox e a Confiant.
“Aproximadamente 96% do tráfego de spam ligado ao Keitaro promovia esquemas de roubo de carteiras de criptomoedas, principalmente por meio de iscas falsas de airdrop e giveaway centradas em AURA, SOL (token da Solana), Phantom (carteira) e Jupiter (DEX/agregador).”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...