Meta processa anunciantes do Brasil, China e Vietnã por golpes com imagens de celebridades

Ações judiciais miram anúncios fraudulentos, técnicas de cloaking, abuso de contas confiáveis e esquemas que combinam malvertising, fraude de assinatura e investimento falso.

Componente	Ecossistema de anúncios em plataformas da Meta, incluindo contas de anunciantes, métodos de pagamento, domínios usados em golpes e serviços de consultoria para evasão de políticas.
Vetor	Anúncios com imagens, vozes ou identidades sintéticas de figuras públicas, redirecionamentos para sites fraudulentos, cloaking contra revisão de anúncios e abuso de contas consideradas confiáveis.
Impacto	Coleta de dados sensíveis, cobrança recorrente não autorizada em cartões, indução a investimentos falsos e exposição de usuários a páginas de phishing, malware ou fraude.
Prioridade	Revisar campanhas pagas, contas de anúncio, domínios de destino, QR codes, fluxos para aplicativos de mensagem e cobranças recorrentes associadas a ofertas de saúde, descontos e investimento.
Artefatos	Foram citados anúncios com iscas de celebridades, sites falsos de pesquisa e compra, grupos de investimento em aplicativos de mensagem, rede de notificações push maliciosas e sites clonados de escritórios de advocacia.
Brasil	Parte das ações envolve anunciantes sediados no Brasil acusados de usar imagens e vozes alteradas de celebridades ou imagem sintética de médico conhecido para promover produtos de saúde e cursos sobre a mesma prática.

Resumo técnico

A Meta iniciou uma frente jurídica e operacional contra anunciantes associados a golpes veiculados em suas plataformas, com alvos sediados no Brasil, na China e no Vietnã. A resposta incluiu ações judiciais, suspensão de métodos de pagamento, desativação de contas relacionadas e bloqueio de domínios usados para conduzir as fraudes. O conjunto de medidas mira uma cadeia que depende de publicidade paga, reputação visual de figuras públicas, infraestrutura de redirecionamento e páginas externas preparadas para capturar dados ou induzir pagamentos.

O caso brasileiro envolve dois núcleos descritos no material. Vitor Lourenço de Souza e Milena Luciani Sanchez são apontados por uso de imagens e vozes alteradas de celebridades para promover produtos fraudulentos de saúde. Outro grupo, associado a B&B Suplementos e Cosméticos Ltda. (Brites Corp), Brites Academia de Treinamento Ltda., Daniel de Brites Macieira Cordeiro e José Victor de Brites Chaves de Araújo, é descrito como parte de operação que usava imagem sintética de um médico conhecido para anunciar produtos de saúde sem aprovação regulatória e vender cursos que ensinavam as mesmas táticas.

A frente também inclui Shenzhen Yunzheng Technology Co., Ltd, da China, acusada de usar anúncios com iscas de celebridades para alcançar pessoas em vários países, incluindo Estados Unidos e Japão, em um esquema que direcionava vítimas para grupos de investimento. No Vietnã, Lý Văn Lâm é citado por uso de cloaking para contornar o processo de revisão de anúncios, exibindo uma versão do site durante a avaliação e outra versão aos usuários reais. Essa técnica reduz a eficácia de controles baseados apenas na inspeção estática do destino anunciado e obriga defensores a correlacionar comportamento em tempo real, perfil do visitante e cadeia completa de redirecionamento.

Fluxo técnico

Nos golpes com iscas de celebridades, o primeiro ponto de contato é o anúncio pago. A peça publicitária explora imagem, voz ou representação sintética de pessoa conhecida para gerar confiança e pressionar o clique. Após a interação, o usuário é levado a páginas falsas que podem solicitar dados pessoais, dados financeiros, participação em grupos externos ou pagamentos em supostas oportunidades comerciais. O impacto técnico não está apenas no conteúdo enganoso do anúncio, mas no encadeamento entre conta de anunciante, método de pagamento, domínio de destino, redirecionamento e formulário de coleta.

No fluxo atribuído ao anunciante vietnamita, os anúncios ofereciam itens com desconto de marcas conhecidas em troca do preenchimento de uma pesquisa. Pessoas que interagiam com as peças eram redirecionadas para sites falsos onde informavam dados de cartão para comprar produtos que não eram entregues. O mesmo fluxo resultava em cobranças recorrentes não autorizadas, caracterizando fraude de assinatura. Para defesa, esse padrão deve ser tratado como abuso de jornada transacional: oferta de baixo atrito, formulário externo, cobrança inicial aparentemente pequena e recorrência não consentida.

Outro ramo do ecossistema combina malvertising e fraude de investimento do tipo pig butchering, com foco observado principalmente em vítimas no Japão. Anúncios com tema financeiro levam a sites que pedem ao usuário para se conectar com um suposto especialista por aplicativo de mensagens, geralmente por meio de QR code. Depois da entrada em conversas individuais ou em grupo, os operadores tentam convencer a vítima a investir valores progressivamente maiores. Em alguns casos, os supostos especialistas podem ser chatbots baseados em IA. Quando a vítima tenta resgatar lucros inexistentes, surge a cobrança de uma taxa de liberação.

O material também descreve infraestrutura auxiliar usada por golpes em escala. Mais de 23.000 domínios foram associados a esse ecossistema de investimento fraudulento. Outro vetor envolve comprometimento de roteadores para alterar configurações de DNS e usar resolvedores paralelos hospedados na Aeza International, empresa de hospedagem bulletproof sancionada pelo governo dos Estados Unidos em julho de 2025. A alteração não autorizada foi projetada para modificar seletivamente respostas DNS relacionadas a Okta e Shopify e direcionar usuários para conteúdo de golpe ou malware por meio de um sistema de distribuição de tráfego baseado em HTTP.

Superfície afetada

A superfície exposta abrange usuários finais, marcas impersonadas, figuras públicas, anunciantes legítimos e plataformas que dependem de revisão automatizada de publicidade. Usuários são atingidos quando uma peça patrocinada transmite confiança por associação com celebridades, médicos, marcas ou escritórios de advocacia. Marcas e profissionais sofrem abuso de identidade, enquanto a plataforma enfrenta tentativas de evasão por cloaking, aluguel de contas confiáveis e serviços que prometem restauração falsa de contas ou contorno de políticas.

A Meta informou que mantém proteções para imagens de mais de 500.000 celebridades e figuras públicas ao redor do mundo, o que indica que a escala do problema exige detecção baseada em identidade visual, repetição de criativos e associação entre campanhas. O risco aumenta quando anunciantes alternam contas, domínios e métodos de pagamento, ou quando consultores oferecem acesso a contas com histórico de confiança para reduzir bloqueios. O componente crítico para investigação não é um único domínio isolado, mas a relação entre criativo, conta, pagamento, destino, formulário e reclamações de usuários.

Contas de anúncio que promovem produtos de saúde, descontos ou investimentos usando imagem de celebridades, médicos ou marcas conhecidas.
Domínios externos que exibem conteúdo diferente para revisores e usuários reais, padrão compatível com cloaking.
Fluxos que movem a vítima de anúncio social para site falso, QR code e conversas em aplicativos de mensagem.
Roteadores com DNS alterado para resolvedores não autorizados e respostas seletivas envolvendo serviços como Okta e Shopify.
Sites clonados de escritórios de advocacia nos Estados Unidos e no Reino Unido usados para abordar vítimas que já sofreram fraude financeira.

Hunting e telemetria

Em ambientes corporativos, a investigação deve começar por telemetria de navegação, DNS, proxy, EDR e identidade. A presença de anúncios fraudulentos pode não aparecer como comprometimento interno no primeiro momento, mas usuários que acessam páginas externas, escaneiam QR codes ou fornecem dados em formulários falsos podem gerar sinais em proxy, CASB, logs de navegador corporativo e alertas de prevenção contra phishing. A análise deve correlacionar hora do clique, domínio de destino, cadeia de redirecionamento, categoria do site e qualquer transação financeira ou autenticação executada em seguida.

Para o vetor de DNS, a prioridade é detectar alterações inesperadas em roteadores, gateways domésticos usados por trabalhadores remotos e equipamentos de borda. Mudanças de resolvedor, respostas divergentes para domínios sensíveis e tráfego HTTP para sistemas de distribuição de tráfego devem ser tratados como indícios de manipulação de resolução. O fato de a técnica modificar respostas relacionadas a Okta e Shopify torna a validação de DNS especialmente importante para organizações que dependem desses serviços em jornadas de autenticação, comércio eletrônico, administração ou suporte.

A rede de notificações push maliciosas citada no material atinge usuários de Android Chrome após obter permissão para envio de notificações. O padrão defensivo inclui alertas recorrentes com mensagens falsas sobre infecção por malware ou necessidade de varredura do sistema, seguidos de direcionamento a sites de golpe ou conteúdo adulto. Bangladesh, Índia, Indonésia e Paquistão concentraram metade do tráfego observado nessa atividade, mas o mecanismo de abuso é global e depende da permissão concedida no navegador, não de instalação tradicional de aplicativo.

Acessos a domínios recém-criados ou de baixa reputação após cliques em anúncios de saúde, descontos, recuperação de valores ou investimento.
Sequências em que o usuário sai de uma rede social, visita página intermediária e depois abre aplicativo de mensagem por QR code ou link profundo.
Consultas DNS com resolvedores desconhecidos, respostas inconsistentes para serviços sensíveis e alterações de configuração em roteadores.
Notificações push no Android Chrome com falso alerta de infecção, varredura do sistema ou necessidade urgente de ação.
Páginas que imitam escritórios de advocacia e oferecem recuperação de fundos a pessoas que já perderam dinheiro em fraude anterior.

Mitigação

A resposta defensiva deve combinar bloqueio de exposição, preservação de evidências e redução de recorrência. Organizações que operam marcas, executivos conhecidos, médicos, escritórios ou produtos com presença pública precisam monitorar anúncios e páginas que usem identidade visual sem autorização. Quando houver fraude ativa, a coleta deve preservar criativos, URLs defangadas, horários, identificadores de campanha quando disponíveis, domínio de destino, prints controlados e registros de reclamação, sem interagir com formulários nem efetuar pagamentos.

Para usuários afetados, a ação muda conforme o estágio da fraude. Se houve apenas clique, a prioridade é revisar histórico de navegação, permissões de notificação e downloads. Se houve fornecimento de dados de cartão, é necessário tratar como incidente financeiro, bloquear ou substituir o cartão e contestar cobranças recorrentes não autorizadas. Se houve entrada em grupo de investimento, a organização deve considerar exposição de dados pessoais, tentativa de engenharia social contínua e risco de novos contatos por canais externos.

No lado técnico, controles de navegação devem bloquear categorias de golpe, domínios recém-registrados e destinos associados a redirecionamento suspeito. Equipes de segurança devem revisar regras de DNS seguro, endurecer configuração de roteadores, impedir alteração não autorizada de resolvedores e validar respostas para serviços críticos. Em dispositivos móveis gerenciados, vale revisar permissões de notificação do navegador, políticas contra instalação de aplicativos fora de lojas confiáveis e visibilidade sobre links abertos a partir de redes sociais e aplicativos de mensagem.

Inventariar contas de anúncio, domínios e páginas que usam marca, executivos, médicos, celebridades ou produtos da organização sem autorização.
Bloquear domínios fraudulentos em DNS, proxy e ferramentas de navegação segura, mantendo indicadores defangados em registros internos.
Revisar permissões de notificação em navegadores móveis e remover autorizações concedidas a sites desconhecidos.
Auditar roteadores e gateways para confirmar resolvedores DNS legítimos e ausência de configuração alterada sem aprovação.
Orientar atendimento, jurídico e fraude financeira a reconhecer golpes de recuperação de valores, assinatura recorrente e investimento falso ligados a anúncios.

Meta processa anunciantes do Brasil, China e Vietnã por golpes com imagens de celebridades

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Meta processa anunciantes do Brasil, China e Vietnã por golpes com imagens de celebridades

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato