Hackers lançam mais de 2.000 lojas falsas de fim de ano em esquema de roubo massivo de pagamentos – Against Invaders

Hackers lançam mais de 2.000 lojas falsas de fim de ano em esquema de roubo massivo de pagamentos - Against Invaders

Pesquisadores de segurança cibernética descobriram uma enorme rede de mais de 2.000 lojas on-line fraudulentas, ativadas deliberadamente durante a temporada de compras da Black Friday e da Cyber ​​Monday para coletar informações de pagamento dos consumidores e executar transações financeiras não autorizadas.

A descoberta revela dois clusters de phishing distintos, mas potencialmente coordenados, que aproveitam infraestrutura compartilhada, modelos automatizados e táticas de personificação de marca para explorar compradores de fim de ano que buscam grandes descontos.

O primeiro cluster compreende mais de 750 domínios interconectados centrados no typosquatting com o tema Amazon, todos utilizando banners uniformes de contagem regressiva de feriados, indicadores de confiança fabricados e mensagens de urgência psicológica.

Domínios como amaboxreturns[.]com, amaznboxsaleus[.]com e amazonreturnsbox[.]com implantar ativos de férias flipclock HTML idênticos hospedados em um CDN suspeito compartilhado (cdn.cloud360[.]topo) para criar falsos Sexta-feira NegraCyber ​​​​Monday e ambientes de liquidação de Natal.

O segundo cluster abrange o ecossistema mais amplo de domínios .shop e abrange sites que representam mais de 30 grandes marcas de consumo, incluindo Apple, Samsung, Dell, Cisco, HP, Logitech, Toshiba, Ray-Ban, Garmin, Shark, Seagate, Xiaomi e Fujifilm.

Uma estrutura CSS compartilhada que permite banners específicos de feriados e também apresenta o recurso usado para identificar os outros mais de 750 domínios.

A análise dos 1.000 principais domínios deste cluster revelou estruturas modais consistentes da Black Friday em vários sites, indicando a reutilização generalizada do mesmo modelo associado a golpes.

Sites da Shell permitem roubo de pagamentos

Essas vitrines fraudulentas capturam detalhes completos de faturamento e cartão de crédito por meio de páginas de checkout falsas antes de redirecionar as vítimas para sites de comerciantes de fachada que processam transações com PayPal e cartões de pagamento.

Em casos documentados, domínios como georgmat[.]com hospedado através do Alibaba, com sede na China Computação em nuvem com detalhes de registro listados, Guangdong serve como intermediários de pagamento que permanecem inalterados em plataformas de segurança como o VirusTotal, reduzindo a probabilidade de detecção de fraudes e permitindo que invasores concluam transações não autorizadas.

A análise técnica descobriu infraestrutura de hospedagem compartilhada em ambas as campanhas, utilizando principalmente a rede de distribuição de conteúdo da Cloudflare para ocultar endereços IP de origem e a infraestrutura principal do invasor.

As estatísticas de registro WHOIS do primeiro cluster mostram domínios registrados por meio de DNSPod (203 domínios), Gname.com (121 domínios) e Name.com (84 domínios), com a maioria criada entre novembro de 2024 e março de 2025 estrategicamente cronometrada para a temporada de compras natalinas.

O segundo cluster demonstrou uma automação ainda maior, com aproximadamente 70% dos domínios analisados ​​registrados através da Spaceship, Inc., predominantemente em junho e julho de 2025.

Os investigadores identificaram recorrentes Arquivos JavaScript com conteúdo de corpo idêntico (hash SHA-256: 095a3ebc77f4e46b3adda543b61d90b7d3f20b41532c07772edd31908d060bb2) em milhares de domínios .shop, apesar dos nomes de arquivos aleatórios, fornecendo uma assinatura confiável para descobrir sites fraudulentos adicionais.

Especialistas em segurança alertam os compradores para verificarem a autenticidade do domínio antes de inserir informações de pagamento, evitar varejistas desconhecidos que ofereçam descontos irrealistas e examinar URLs em busca de padrões de typosquatting.

As lojas falsas empregam múltiplas técnicas de manipulação psicológica, incluindo crachás de confiança fabricados reivindicando certificações de segurança, cronômetros de contagem regressiva criando falsa urgência, notificações pop-up mostrando compras recentes falsas e mensagens de escassez como “Compra urgente” e “Inventário apertado”.

Estes elementos pressionam as vítimas a concluir as transações antes de reconhecerem a natureza fraudulenta dos sites.

Embora vários domínios tenham sido desativados por registradores e provedores de hospedagem, muitos permanecem ativos, ressaltando o risco contínuo para os consumidores durante os períodos de vendas de fim de ano de alto tráfego.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.