CAPTCHA falso usa SMS internacional e TDS Keitaro para fraude global

Campanhas combinam fraude de compartilhamento de receita por SMS, sequestro do botão voltar e distribuição de tráfego para golpes de criptoativos, malware e investimento falso.

Componente	Páginas falsas de CAPTCHA, aplicativos de SMS em Android e iOS, números internacionais de tarifa elevada e servidores Keitaro usados como sistema de distribuição de tráfego.
Vetor	Redirecionamento por TDS comercial para página falsa que solicita envio de SMS para confirmar que o usuário é humano, com mensagens e destinos preenchidos automaticamente.
Impacto	Cobranças de SMS internacional para vítimas e operadoras, geração de receita indevida por IRSF e distribuição de tráfego para malware, roubo de criptoativos e golpes de investimento.
Prioridade	Bloquear domínios e redirecionadores associados, revisar tráfego DNS para campanhas Keitaro, monitorar envio anômalo de SMS internacional e orientar usuários a não confirmar CAPTCHA por mensagem.
Versões	A operação de IRSF é apontada como ativa desde pelo menos junho de 2020; o abuso de Keitaro cobriu mais de 120 campanhas entre outubro de 2025 e janeiro de 2026.
Artefatos	Foram observados até 35 números em 17 países na fraude de SMS e cerca de 13.500 domínios associados à atividade relacionada a Keitaro.

Resumo técnico

A atividade analisada reúne duas frentes de fraude digital que compartilham a mesma lógica operacional: transformar redirecionamento web e engenharia social em receita criminosa escalável. Na primeira frente, páginas falsas de CAPTCHA induzem o visitante a enviar mensagens SMS internacionais como suposta prova de que é humano. O fluxo não depende de exploração de navegador ou execução de código no dispositivo da vítima; o ponto central é a manipulação da interface e da confiança do usuário. A página prepara números e conteúdo da mensagem, aciona o aplicativo de SMS em Android ou iOS e conduz a vítima por várias etapas de verificação. Cada etapa pode gerar novos envios para destinos de alto custo, elevando a cobrança final mesmo quando a vítima acredita estar cumprindo uma verificação comum de acesso.

Na segunda frente, servidores Keitaro, originalmente voltados a rastreamento e roteamento condicional de publicidade, aparecem reaproveitados como sistemas de distribuição de tráfego, rastreamento e cloaking. Mais de 120 campanhas distintas abusaram desse mecanismo em um período de quatro meses, usando entrega de links para malware, roubo de criptoativos e falsas plataformas de investimento. O conjunto mostra uma convergência entre fraude de telecomunicações, publicidade maliciosa e infraestrutura de redirecionamento. Para defesa, o valor operacional está em tratar essas páginas como parte de uma cadeia de tráfego, não como eventos isolados de phishing: DNS, histórico de navegação, telemetria de endpoint móvel, anúncios e cobranças de SMS precisam ser correlacionados.

Fluxo técnico

O fluxo de IRSF começa quando o usuário é encaminhado a uma página falsa por meio de um sistema de distribuição de tráfego. A página apresenta um CAPTCHA fraudulento e afirma que o envio de SMS é necessário para confirmar a presença humana. Em vez de coletar credenciais, instalar malware ou explorar uma falha local, a cadeia usa APIs e comportamentos legítimos do sistema operacional para abrir o aplicativo de mensagens com destinatários e texto previamente preenchidos. A vítima ainda precisa confirmar o envio, mas a pressão contextual da falsa verificação reduz a percepção de risco. Em uma sequência observada, quatro etapas de CAPTCHA puderam levar ao envio de até 60 mensagens para 15 números distintos, com custo estimado de até 30 dólares para o usuário.

A monetização vem do modelo de fraude conhecido como international revenue share fraud, em que fraudadores usam números internacionais premium ou faixas de numeração com taxas de terminação elevadas. Quando a mensagem chega ao destino, a operadora de origem paga encargos à rede de destino, e parte dessa receita pode ser dividida com os operadores da fraude. Os números observados abrangem 17 países, incluindo Azerbaijão, Países Baixos, Bélgica, Polônia, Espanha e Turquia. O uso de destinos com tarifas elevadas ou regulamentação mais permissiva aumenta a margem do golpe. A cobrança tardia também favorece a operação, porque o valor pode aparecer na fatura semanas depois, quando a sessão de navegação e o CAPTCHA falso já não estão frescos na memória da vítima.

Outro elemento técnico é o sequestro do botão voltar. A página usa JavaScript para modificar o histórico do navegador de forma que a tentativa de retornar à página anterior redirecione novamente para o CAPTCHA falso. Esse loop não compromete o navegador, mas dificulta a saída natural do fluxo e aumenta a chance de o usuário continuar a interação. Em paralelo, campanhas baseadas em Keitaro usam o roteamento condicional do tracker para decidir qual visitante recebe determinado conteúdo, link ou página intermediária. Esse recurso permite separar tráfego de análise, visitantes reais e alvos desejados, funcionando como camada de cloaking para golpes de criptoativos, investimento falso e distribuição de malware.

Superfície afetada

A superfície exposta inclui usuários móveis que chegam a páginas de verificação falsas por anúncios, redirecionamentos ou links intermediários, além de operadoras que processam mensagens internacionais para faixas de numeração controladas ou alugadas pelos operadores da fraude. A campanha de CAPTCHA falso não aparece restrita por geofencing no recorte observado; há atividade vista nos Estados Unidos e na Europa, com indicação de alcance possivelmente mais amplo. A ausência de geofencing rígido amplia o risco para ambientes corporativos com dispositivos móveis gerenciados, porque o evento pode ser tratado apenas como cobrança pessoal do usuário, embora tenha origem em navegação e redirecionamento potencialmente observáveis pela organização.

No abuso de Keitaro, a superfície afetada se desloca para domínios, anúncios e páginas de destino. Cerca de 226.000 consultas DNS de clientes foram registradas para aproximadamente 13.500 domínios associados à atividade relacionada a Keitaro entre outubro de 2025 e janeiro de 2026. O conteúdo entregue variou entre malware, roubo de criptoativos e golpes de investimento que afirmavam usar IA para negociação automatizada. Parte das campanhas usou Facebook Ads, notícias falsas, endossos fabricados de celebridades e vídeos sintéticos. O ator chamado FaiKast foi associado ao uso de vídeos deepfake, enquanto TA2726 aparece vinculado ao uso de licenças roubadas ou quebradas do Keitaro.

A infraestrutura é relevante porque servidores Keitaro não são maliciosos por natureza. O risco nasce do uso indevido de fluxos, regras de roteamento, rastreamento e cloaking. Isso exige que equipes de segurança evitem bloqueios amplos sem análise e priorizem indicadores comportamentais: domínios recém-observados, cadeias de redirecionamento, páginas de airdrop, promessas de retorno financeiro automatizado, troca rápida de destinos e concentração de tráfego em campanhas de spam.

Usuários que acessam páginas móveis de CAPTCHA falso e aceitam abrir o aplicativo de SMS com destinatário internacional preenchido.
Operadoras que processam mensagens para números internacionais premium ou faixas de numeração usadas em IRSF.
Ambientes que permitem acesso a anúncios e redirecionadores capazes de encaminhar tráfego para servidores Keitaro abusados.
Usuários de criptoativos expostos a falsas campanhas de airdrop, giveaway, carteiras Phantom, token SOL, ecossistema AURA e agregador Jupiter.

Hunting e telemetria

A investigação deve começar pela reconstrução da cadeia de navegação. Em endpoints e dispositivos móveis gerenciados, os sinais mais úteis são acessos a páginas de CAPTCHA fora de fluxos legítimos, abertura repetida do aplicativo de SMS a partir do navegador, presença de múltiplos destinatários internacionais em curto intervalo e histórico de navegação que retorna para a mesma página após uso do botão voltar. Em redes corporativas, logs DNS e proxy podem revelar domínios de redirecionamento, páginas intermediárias e destinos finais. O evento não precisa conter credenciais roubadas para ser relevante: a cobrança indevida e a exposição do usuário a cadeias de TDS já justificam resposta e bloqueio.

Para Keitaro, o hunting deve procurar padrões de TDS: múltiplos redirecionamentos encadeados, parâmetros de campanha, domínios descartáveis, variação de destino conforme geografia, dispositivo ou reputação do visitante e páginas que alternam entre conteúdo benigno e fraude. A concentração de consultas DNS para domínios ligados a campanhas de spam, airdrops falsos e plataformas de investimento com promessa de IA deve ser analisada junto com telemetria de navegador e anúncios clicados. Como aproximadamente 96% do tráfego de spam vinculado a Keitaro promoveu esquemas de drainer de carteiras, qualquer jornada que termine em conexão de wallet, assinatura de transação ou suposto resgate de brinde deve receber tratamento de alto risco.

A telemetria financeira também ajuda. Chamadas ao suporte por cobranças de SMS internacional, contestação de fatura e mensagens enviadas para países incomuns podem revelar o golpe antes que os domínios sejam plenamente classificados. Em organizações com MDM, vale revisar permissões de SMS, logs de abertura de aplicativos por links externos e alertas de navegação para páginas que tentam prender o usuário por manipulação de histórico.

Sequência de SMS internacionais enviada após visita a página de CAPTCHA ou verificação humana incomum.
Consultas DNS para domínios associados a redirecionamento, campanhas Keitaro, airdrops falsos, giveaways de criptoativos ou páginas de investimento com promessa de IA.
Histórico de navegador com loop de retorno para a mesma página após acionamento do botão voltar.
Páginas que acionam o aplicativo de SMS com número e corpo de mensagem preenchidos automaticamente.
Anúncios que levam a artigos falsos, endossos fabricados, vídeos sintéticos ou páginas que solicitam conexão de carteira de criptoativos.

Mitigação

A resposta deve separar três frentes: usuário, tráfego e telecomunicações. Para usuários, a orientação precisa ser objetiva: CAPTCHA legítimo não exige envio de SMS internacional para confirmar humanidade. Qualquer página que abra o aplicativo de mensagens com destinatário preenchido deve ser encerrada sem envio, e a cobrança deve ser reportada à operadora. Em ambientes corporativos, MDM e políticas móveis podem reduzir o risco ao restringir abertura automática de aplicativos por esquemas de URL quando possível, registrar eventos de SMS internacional e exigir análise quando houver envio em massa para países incomuns.

No tráfego, o controle mais efetivo é bloquear domínios e cadeias de redirecionamento observadas, enriquecer logs DNS com inteligência de campanhas Keitaro e criar detecções para páginas de investimento, airdrop e giveaway que combinem linguagem de urgência com conexão de carteira. Como Keitaro também é uma ferramenta legítima, a mitigação deve focar instâncias, domínios, fluxos e campanhas abusivas, não o nome do produto isoladamente. Após divulgação responsável, mais de uma dezena de contas ligadas às atividades foi cancelada, mas isso não elimina domínios já distribuídos nem servidores operados por terceiros.

Operadoras e equipes antifraude devem revisar rotas de SMS para números internacionais premium, volume anômalo por faixa, mensagens de baixo conteúdo técnico enviadas em rajadas e picos originados de usuários que não têm histórico de tráfego internacional. Para incidentes envolvendo criptoativos, a contenção inclui bloquear domínios de drainer, orientar usuários a não assinar transações acionadas por airdrops, revogar permissões de carteira quando aplicável e preservar evidências de URLs, anúncios, redirecionamentos e horários de acesso para correlação.

Bloquear páginas de CAPTCHA falso, redirecionadores e domínios de campanhas Keitaro identificados na telemetria interna.
Alertar usuários de que verificações humanas não devem exigir SMS internacional nem conexão de carteira de criptoativos.
Monitorar faturas e logs de dispositivos para rajadas de SMS a múltiplos números internacionais após navegação web.
Criar regras DNS e proxy para campanhas de airdrop, giveaway, plataformas de investimento com IA e páginas que usam cloaking.
Revisar controles de MDM, políticas de SMS internacional e processos de contestação com operadoras para reduzir recorrência.

CAPTCHA falso usa SMS internacional e TDS Keitaro para fraude global

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

CAPTCHA falso usa SMS internacional e TDS Keitaro para fraude global

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato