Uma nova pesquisa da Infoblox Threat Intel em parceria com a Confiant revelou que cibercriminosos estão explorando o Keitaro, uma ferramenta amplamente utilizada para rastreamento de desempenho de anúncios, para esconder golpes e distribuição de malware atrás de tráfego web aparentemente legítimo. Parte significativa das campanhas observadas se passa por oportunidades de investimento baseadas em inteligência artificial.
As chamadas técnicas de cloaking, ou camuflagem, têm sido cada vez mais usadas no cibercrime moderno. Elas permitem que páginas maliciosas exibam conteúdo inofensivo para determinados usuários, enquanto direcionam vítimas para golpes ou downloads de malware.
Abuso em larga escala e análise de quatro meses
O estudo conjunto é descrito como a primeira análise longitudinal do uso malicioso do Keitaro Tracker. Ao longo de quatro meses, pesquisadores identificaram cerca de 15,5 mil domínios associados a instâncias maliciosas da ferramenta.
Essas infraestruturas foram usadas para ocultar desde golpes de investimento até malware voltado ao roubo de informações. O tráfego chegava por diferentes canais, incluindo sites comprometidos, spam, redes sociais e publicidade online.
Além da investigação, houve colaboração com a Keitaro para derrubar operações abusivas e aprofundar o entendimento sobre o uso indevido de licenças roubadas.
Cloaking se consolida como parte do crime digital
Segundo a pesquisa, a camuflagem de domínio se tornou um componente central das operações de cibercrime. Por meio de sistemas de distribuição de tráfego e kits de cloaking, criminosos conseguem contornar mecanismos de detecção, segmentar vítimas com maior precisão e dificultar a identificação de suas infraestruturas.
O relatório destaca ainda que muitos agentes deixam de desenvolver ferramentas próprias e passam a explorar softwares comerciais já disponíveis, como o Keitaro, que possui arquitetura self-hosted e fácil implantação. Embora a plataforma não ofereça suporte a integrações de cloaking, seus recursos continuam sendo explorados de forma indevida.
Golpes com tema de IA ganham força
Entre os abusos identificados, os golpes de investimento foram a categoria mais recorrente. Um dos principais padrões observados envolve o uso de inteligência artificial como elemento de convencimento.
As páginas fraudulentas frequentemente prometem “Tecnologia de Negociação Inteligente com IA” ou “Soluções de Negociação Inteligentes”, alegando automatizar investimentos e gerar retornos elevados. Em alguns casos, há uso de deepfakes e outros recursos visuais para reforçar a aparência de legitimidade.
Os pesquisadores também apontaram indícios de uso de IA generativa para produzir em escala textos, manchetes e imagens utilizados nas páginas de isca e anúncios.
Visão integrada do ecossistema de ameaças
A pesquisa combinou diferentes camadas de análise. A Confiant forneceu visibilidade sobre a cadeia de publicidade, enquanto a Infoblox analisou a atividade a partir do DNS e de padrões de conteúdo e spam.
Essa abordagem integrada ajudou a mapear um ecossistema mais amplo do que casos isolados sugeriam anteriormente.
“Durante anos, o Keitaro surgiu em investigações individuais, mas ninguém parou para perguntar qual era a real dimensão do problema”, disse a Dra. Renée Burton, vice-presidente de Inteligência de Ameaças da Infoblox. “Descobrimos que o Keitaro aparecia frequentemente em campanhas maliciosas, mas a história não é realmente sobre o Keitaro; ele é apenas um participante em um ecossistema que cibercriminosos estão usando para escalar e direcionar ataques em todo o mundo.”
O relatório completo pode ser acessado no blog da Infoblox.
