Um e-mail me levou a investigar uma das maiores campanhas de PHISHING do momento!

Um e-mail me levou a investigar uma das maiores campanhas de PHISHING do momento!

02/05/2026

Autor: Juan Mathews Rebello Santos

1. SUMÁRIO EXECUTIVO

Este relatório técnico documenta a investigação forense conduzida por mim após o recebimento de um e-mail fraudulento contendo uma suposta notificação de prêmio e depósito financeiro pendente. A análise revelou uma infraestrutura cibercriminosa sofisticada operando campanhas de phishing, scareware e fraude de afiliados em escala internacional.

Durante a investigação, identifiquei uma cadeia de redirecionamentos composta por:

  • spam eletrônico com engenharia social;
  • abuso da infraestrutura da Cloudflare Pages;
  • comprometimento de servidores governamentais na República Democrática do Congo;
  • infraestrutura de Comando e Controle (C2);
  • utilização de Domain Generation Algorithm (DGA);
  • certificados SSL Wildcard;
  • e monetização através de programas de afiliados da Norton/Gen Digital via Impact Radius.

A operação demonstra elevado nível de profissionalismo técnico, evasão anti-análise e automação de campanhas maliciosas.

2. ORIGEM DA INVESTIGAÇÃO

A investigação teve início após eu receber um e-mail claramente falsificado enviado pelo endereço:

[email protected]

O assunto da mensagem era:

Prize Code

O conteúdo do e-mail misturava texto em árabe com mensagens de urgência financeira, estratégia utilizada para dificultar filtros antispam e aumentar a aparência de legitimidade.

Trecho identificado:

شكراً على مشاركتك في المسابقة
يرجى الاحتفاظ بالكود للمراجعة عند السحب

Tradução aproximada:

“Obrigado por participar do concurso.
Por favor, mantenha o código para verificação durante o sorteio.”

A mensagem apresentava ainda um suposto código promocional:

Code: 9132289937520370

Entretanto, o verdadeiro objetivo do e-mail era induzir o usuário ao clique em um link malicioso inserido no meio da mensagem:

⚠️ Urgent: Your $3,639.00 deposit is on hold. Confirm now:
https://obs.regideso.cd/?8nqrpm

O conteúdo também exibia meu endereço de e-mail para aumentar a sensação de personalização e legitimidade:

[email protected]

A análise demonstrou que o e-mail foi construído para combinar:

  • premiações falsas;
  • urgência financeira;
  • idioma estrangeiro;
  • engenharia social;
  • e ocultação parcial do golpe.

O objetivo era induzir a vítima ao clique imediato.

3. CADEIA DE REDIRECIONAMENTO MALICIOSO

Ao acessar o link:

https://obs.regideso.cd/?8nqrpm

identifiquei que o domínio funcionava apenas como relay intermediário dentro da operação.

O fluxo completo observado durante a investigação foi:

Email Spam
↓
obs.regideso.cd
↓
linen-wharf-river.pages.dev
↓
Subdomínios aleatórios de yandehyto.com
↓
Domínios finais de scareware/phishing

Entre os destinos finais identificados estavam:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Essa arquitetura demonstra uma cadeia profissional de ocultação de infraestrutura, dificultando rastreamento, bloqueios automatizados e análises forenses.

4. ANÁLISE DO RELAY COMPROMETIDO

O domínio:

obs.regideso.cd

resolvia para o IP:

161.35.30.54

hospedado na infraestrutura da DigitalOcean.

O ativo aparentava pertencer à empresa pública de abastecimento de água da República Democrática do Congo:

  • REGIDESO SA

Durante a análise do ambiente web, identifiquei:

  • arquivos PHP não autorizados;
  • scripts atuando como redirectors;
  • exposição de ambiente Laravel;
  • backend operando em modo Debug.

Arquivos observados:

  • info.php
  • index.php

Também foram expostos caminhos internos absolutos do servidor:

C:\api-factures\api-factures\

A exposição dessas informações confirma falhas severas de hardening e configuração insegura do framework Laravel.

5. INFRAESTRUTURA DE COMANDO E CONTROLE (C2)

O núcleo da operação estava centralizado em um servidor operando como:

  • redirector central;
  • click tracker;
  • gateway de monetização;
  • e controlador da campanha.

Endpoint identificado:

/click.php

6. TÉCNICAS DE EVASÃO

6.1 Cloaking contra análise

Identifiquei que o servidor implementava cloaking ativo contra:

  • pesquisadores;
  • scanners automatizados;
  • IPs de datacenter;
  • ferramentas como curl e Nmap.

Quando detectava ambiente suspeito, o servidor respondia com:

HTTP/1.1 302 Found
Location: http://yahoo.com/

ou:

Location: http://google.com/

Essa técnica reduz drasticamente a exposição da landing page maliciosa para sistemas de segurança.

6.2 DGA e Wildcard DNS

Durante a investigação, identifiquei utilização extensiva de Wildcard DNS no domínio:

yandehyto.com

Qualquer subdomínio aleatório resolvia corretamente para o servidor C2.

Exemplos identificados:

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Essa técnica permite rotação infinita de URLs sem necessidade de registrar novos domínios.

6.3 Certificados SSL Wildcard

O operador utilizava certificados Wildcard válidos emitidos pela Let's Encrypt:

*.yandehyto.com

Isso permitia HTTPS válido para todos os subdomínios gerados dinamicamente, aumentando a credibilidade do golpe.

7. ANÁLISE DO PAYLOAD SCAREWARE

Após os redirecionamentos, a vítima era encaminhada para páginas hospedadas em:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

Essas páginas executavam JavaScript malicioso simulando a interface do:

  • McAfee Total Protection

O código continha funções como:

start_circleProgress()

que simulavam falsas varreduras antivírus e exibiam ameaças inexistentes:

  • Win32/Hoax.Renos.HX
  • Trojan IRC/Backdor.Sd.FRV

Também identifiquei:

  • uso da FullScreen API;
  • bloqueio de navegação;
  • captura de foco da aba;
  • interceptação de onbeforeunload.

O objetivo era gerar pressão psicológica para induzir a vítima à compra imediata de antivírus.

8. FRAUDE DE AFILIADOS

A monetização final ocorria através de redirecionamentos para páginas legítimas da:

  • NortonLifeLock
  • Gen Digital

A campanha abusava da plataforma de afiliados:

  • Impact Radius

Identificadores encontrados:

Partner ID: 3076190
Campaign ID: 4405

O modelo operacional convertia o medo induzido pelo scareware em comissão financeira.

9. EVIDÊNCIAS FORENSES

Redirecionamento HTTP

HTTP/1.1 302 Found
Server: nginx/1.28.0
Date: Fri, 01 May 2026 20:12:37 GMT
Location: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Detecção de cloaking:

[Detection Triggered] -> Redirect to http://yahoo.com/

Certificado SSL

depth=0 CN = yandehyto.com

X509v3 Subject Alternative Name:
DNS:*.yandehyto.com
DNS:yandehyto.com

Issuer:
C = US
O = Let's Encrypt
CN = E7

10. INDICADORES DE COMPROMETIMENTO (IOCs)

IPs

  • 161.35.30.54

Domínios

  • smilingtooth.com.sa
  • obs.regideso.cd
  • linen-wharf-river.pages.dev
  • yandehyto.com
  • baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

Subdomínios DGA

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

IDs de Afiliado

Impact Radius Partner ID: 3076190
Campaign ID: 4405

11. CONCLUSÃO

Com base em toda a investigação conduzida, concluí que a campanha analisada representa uma operação cibercriminosa altamente profissional, utilizando:

  • phishing;
  • scareware;
  • cloaking;
  • DGA;
  • abuso de infraestrutura legítima;
  • fraude de afiliados;
  • e servidores comprometidos de terceiros.

A operação demonstra forte capacidade técnica em:

  • evasão anti-análise;
  • engenharia social;
  • monetização fraudulenta;
  • automação de campanhas;
  • e ocultação de infraestrutura.

12. REFERÊNCIAS E ANÁLISE DE URLs CONFIÁVEIS

Abaixo estão os links que comprovam a análise dos domínios e URLs em plataformas de inteligência de ameaças.

VirusTotal

AlienVault OTX

AbuseIPDB

Censys

SecurityTrails

urlscan.io

Shodan

Nota: As atividades maliciosas e os indicadores de comprometimento já foram reportados para as autoridades competentes.