Escala da infraestrutura de fraude
Um framework de desenvolvimento de código aberto chinês, o DCloud Uni-App, tornou-se o motor silencioso por trás de uma das maiores redes de golpes já documentadas. Projetado para desenvolvimento legítimo de aplicativos, o toolkit foi repurcionado por cibercriminosos para operar uma operação abrangente envolvendo exchanges de criptomoedas falsas, sites de phishing e armadilhas de investimento. Mais de 236.000 domínios de segundo nível fraudulentos foram vinculados a este único framework, tornando-o uma das ferramentas de desenvolvimento mais armadas na história recente do cibercrime.
A escala da ameaça tornou-se clara após o escândalo RainbowEx de 2024, que chamou a atenção internacional quando milhares de residentes na pequena cidade argentina de San Pedro foram defraudados através de uma plataforma de criptomoedas falsa. O RainbowEx foi construído usando o DCloud Uni-App, e essa descoberta abriu caminho para uma investigação muito mais ampla. Analistas da Infoblox afirmaram que o framework DCloud Uni-App sustenta pelo menos 236.493 domínios de segundo nível distintos operando como infraestrutura de golpe.
Vetores de ataque e engenharia social
Além da fraude cripto, os atores de ameaça estão usando o DCloud para construir sites de phishing do WhatsApp em escala. Esses modelos imitam o Centro de Ajuda de Segurança do WhatsApp ou interfaces confiáveis semelhantes para enganar os usuários a entregarem credenciais e acesso à conta. Sete domínios de golpe com tema do WhatsApp usando variantes como whatsapzentr.com e whatsaprs.vipl foram observados em uso ativo ao longo do último ano.
Muitas dessas páginas de phishing parecem de forma enganosa simples, apresentando uma foto de fundo de estoque, campos de login básicos e alguns links de mídia social. Essa simplicidade é estratégica, pois uma página limpa e não suspeita reduz a chance de um visitante sair antes de se envolver com o site. As vítimas são então solicitadas a conectar ou verificar uma carteira cripto, o que aciona fluxos de verificação da BNB Chain ou Tether antes que a carteira conectada seja silenciosamente drenada.
Indicadores de Comprometimento (IoCs)
Os pesquisadores recomendam que as organizações bloqueiem as impressões digitais técnicas conhecidas do DCloud no nível DNS para separar sites de golpe maliciosos dos legítimos. Plataformas de proteção baseadas em DNS que integram essa inteligência podem sinalizar automaticamente essas ameaças e proteger os usuários em múltiplas indústrias. Abaixo estão alguns dos domínios observados:
- hakxiyu.com (Impersonação da Bolsa de Hong Kong)
- nasqpro.top (Golpe de investimento impersonando NasQ)
- pkvviews.com (Drenador de carteira impersonando BNB Chain)
- qwhatsappenter.com (Modelo de phishing do WhatsApp)
- whatsapzentr.com (Phishing do WhatsApp impersonando Help Center)
Medidas de mitigação recomendadas
Para organizações que buscam proteger seus usuários e ativos, as seguintes medidas são essenciais:
- Filtragem DNS: Implementar soluções de filtragem DNS que possam identificar e bloquear domínios gerados dinamicamente ou com padrões suspeitos.
- Educação do Usuário: Treinar usuários para identificar sinais de phishing, especialmente aqueles que solicitam verificação de carteiras ou credenciais de login.
- Monitoramento de Marca: Monitorar o uso indevido de marcas e nomes de domínio que possam estar sendo usados para enganar clientes.
- Análise de Tráfego: Implementar monitoramento de tráfego de saída para detectar comunicações com servidores C2 conhecidos ou domínios suspeitos.
Para os últimos dois anos, os sites de golpe construídos no DCloud escalaram dramaticamente, e o rastreamento de padrões de propriedade compartilhada em todo esse ecossistema agora é uma necessidade de longo prazo.