Campanha massiva de lojas falsas usa 200 domínios para fraude

Analistas da Bfore.ai identificaram uma campanha com mais de 200 domínios falsos que emulam grandes varejistas (Zalando, Birkenstock, IKEA) para colher cartões ou distribuir payloads. A ação usa infraestrutura chinesa, WHOIS privado, anúncios em TikTok/Facebook e padrões de checkout repetidos.

Relatório de analistas da Bfore.ai, citado por Cyber Security News, descreve uma operação que registrou mais de 200 domínios falsos para montar lojas online fraudulentas que imitam marcas globais e capturar dados de pagamento ou distribuir payloads maliciosos.

Estrutura da campanha

A operação é descrita como "industrializada": os atacantes automatizaram a geração de sites que copiam aparência de varejistas conhecidos (nomes citados incluem Zalando, Birkenstock e IKEA) e hospedaram a maioria dos domínios em provedores de infraestrutura chineses. WHOIS protegido por privacidade foi usado para ocultar a identidade dos registrantes.

Vetores de tráfego e técnicas de engano

Os domínios fraudulentos são promovidos por campanhas em redes sociais, citadas como TikTok e Facebook. As páginas de checkout falsas colhem detalhes de cartão ou redirecionam visitantes para cargas maliciosas. Técnicas de evasão incluem uso de templates genéricos, nomes confusos que misturam marcas e táticas “agenda‑oriented” (domínios aparentemente não relacionados que são reutilizados como lojas), tudo para contornar regras simples de filtragem.

Artefatos técnicos observados

Os analistas notaram padrões de backend e bibliotecas JavaScript idênticas entre sites maliciosos e identificaram padrões de URL de checkout recorrentes, por exemplo: /collections/all e /products/item123. Domínios sazonais como "mango-flashsale[.]com" são usados para criar senso de urgência e induzir compras precipitadas.

Impacto potencial

Além de perdas financeiras imediatas para consumidores, a campanha aumenta o risco de roubo de identidade e comprometimento de cartões. A operação, por sua escala e infraestrutura, pode substituir rapidamente domínios removidos, mantendo a persistência operacional.

Mitigações e recomendações

Consumidores: verificar URL, evitar clicar em anúncios ou links em redes sociais sem confirmar a origem e preferir canais oficiais de compra.
Provedores de pagamento e adquirentes: reforçar monitoramento de páginas de checkout e regras de fraude para identificar padrões de checkout clonados e fluxos anômalos.
Plataformas de redes sociais: aumentar fiscalização de anúncios e contas que promovam ofertas com domínios recém‑registrados ou conteúdo inconsistente.
Equipes de resposta a incidentes: coletar IoCs diretamente do relatório Bfore.ai e coordenar takedowns com registrars e provedores de hosting quando aplicável.

Observação sobre evidências públicas

O sumário reproduzido indica claramente a escala (mais de 200 domínios) e técnicas empregadas, mas o texto público não lista um conjunto completo de domínios IoC nem métricas de vítimas. Organizações que detectarem tráfego suspeito devem correlacionar com inteligência acionável e solicitar o relatório completo da Bfore.ai para respostas operacionais.