Hack Alerta

Domínios com tema educacional ligados a infraestrutura bulletproof e TDS

Por Redação Hack Alerta Publicado em 30/01/2026 06:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores expuseram uma operação que usa domínios com aparência educacional como TDS para distribuir malware e phishing. O loader JavaScript ofuscado gera identificadores únicos por visitante, usa certificados Let’s Encrypt e opera em bulletproof hosting (ASN AS202015). Domínios resolvem para 185.33.84.0/23; payloads upstream apresentaram 504 em alguns testes.

Pesquisadores identificaram uma operação que usa domínios com aparência acadêmica para distribuir malware, phishing e páginas de golpe por meio de um sistema de distribuição de tráfego (TDS).

Descoberta e escopo

Analistas reportaram uma campanha coordenada rastreada por indicadores de infraestrutura associados ao grupo denominado TOXICSNAKE. Os adversários publicaram landing pages que imitam universidades e instituições educacionais, aproveitando a confiança dos usuários em portais acadêmicos para induzir visitas e iniciar a cadeia de infecção.

Vetor e mecanismo de entrega

O ataque usa uma cadeia multinível: páginas iniciais fraudulentas carregam um loader JavaScript altamente ofuscado que executa automaticamente no navegador da vítima. Esse loader contém um decodificador que constrói uma URL remota, injeta código malicioso na página e grava uma flag de execução única no armazenamento do navegador para evitar execuções repetidas e detecções por sandboxes.

Arquitetura e evasão

Os domínios analisados resolvem para endereços no bloco 185.33.84.0/23 e empregam nomes de host distintos por domínio — uma tática destinada a dificultar bloqueios por IP em larga escala. A operação utiliza serviços de hosting com políticas de abuso permissivas (bulletproof hosting), identificados como HZ Hosting Ltd (ASN AS202015), e registra domínios com WHOIS descartável e nameservers Regway.

Certificados e rotatividade

Os operadores obtêm certificados TLS automatizados via Let’s Encrypt, com validade de 90 dias, permitindo substituição rápida de domínios e rotação de infraestrutura quando necessário.

Comportamento do loader e segmentação

O JavaScript recuperado por pesquisadores inclui tokenização para gerar identificadores de sessão únicos por visitante. Esse mecanismo permite diferenciar ambientes de análise automatizados (sandbox) de vítimas reais, servindo conteúdo benigno a sandboxes enquanto direciona o payload real a alvos que correspondam a critérios geográficos, tipo de dispositivo e navegador.

Evidências e limitações

  • Domínios observados: pasangiklan[.]top, asangiklan[.]top, ourasolid[.]com, refanprediction[.]shop, xelesex[.]top e toxicsnake-wifes[.]com.
  • O loader atua como nó de um TDS e encaminha vítimas a payloads distintos conforme fingerprint do visitante.
  • Em alguns testes, a etapa que buscaria payloads upstream retornou HTTP 504, indicando infraestrutura upstream inativa ou bloqueada no momento da investigação.

Impacto e alvos

Embora o relatório descreva um foco em vítimas que acessam portais educacionais, os recursos exfiltrados não listam vítimas institucionais específicas. O principal risco é para usuários e sistemas que confiam em portais de instituições acadêmicas, incluindo pesquisa, corpo discente e administrativos que possam acessar esses links.

Recomendações práticas

  • Bloquear e monitorar acessos aos domínios e ao netblock 185.33.84.0/23 até investigação completa.
  • Inspecionar telemetria de navegação para identificar acessos a páginas com branding educacional suspeito e flags de execução únicos no armazenamento do navegador.
  • Alertar equipes de usuários acadêmicos sobre engenharia social que imita plataformas educacionais; instruir a verificar URLs e proveniência de comunicações.
  • Implementar análise de scripts ofuscados em ambientes isolados e correlacionar padrões de tokenização/resposta distinta a sandboxes.

O que falta

Os pesquisadores documentam infraestrutura, domínios e técnicas de evasão, mas não há indicação pública de campanhas de grande escala com lista de vítimas nominais. Também falta confirmação sobre o(s) payload(s) final(is) efetivamente entregues em produção em todos os casos — alguns endpoints upstream retornaram 504 durante a análise.

Resumo técnico

Trata‑se de uma operação TDS operando sobre infraestrutura resistente a derrubadas (bulletproof hosting) e usando certificados legítimos para parecer confiável. A combinação de ofuscação, tokenização por visitante e uso de blockchain não foi observada explicitamente neste item — o relatório concentra‑se na fase de distribuição e evasão.

Fonte: relatório público de analistas que identificaram o loader e os domínios vinculados à infraestrutura catalogada como TOXICSNAKE.

Baseado em publicação original de Cyber Security News
Tags: #tds #phishing #malware #toxicsnake #bulletproof-hosting #education #javascript #phishing-domains #infrastructure
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar