Grupos criminosos, especializados em ataques virtuais, estão desenvolvendo campanhas fraudulentas por meio da manipulação de vídeos deepfake, utilizando a imagem de figuras públicas, incluindo CEOs, âncoras de notícias e funcionários do alto escalão do governo. Essas operações têm sido realizadas em diferentes idiomas e divulgam esquemas de investimentos falsos, bem como ofertas enganosas em nome de governos.

Pesquisadores da Unit 42 da Palo Alto Networks, especialistas em pesquisa e inteligência de ameaças, descobriram dezenas de campanhas de golpes direcionadas a potenciais vítimas em diversos países, incluindo Canadá, México, França, Itália, Turquia, República Tcheca, Singapura, Cazaquistão e Uzbequistão. Devido às semelhanças táticas e de infraestrutura, eles estimam que muitas dessas ações sejam originadas de um único grupo cibercriminoso.

Em junho de 2024, centenas de domínios foram descobertos sendo utilizados para promover esses golpes, e foi documentado que cada domínio foi acessado, em média, 114 mil vezes no mundo todo desde que foram ativados, conforme a telemetria de DNS passivo (pDNS) da Unit 42.

Por meio de diferentes campanhas, diversos vídeos foram gerados e amplamente compartilhados pelos cibercriminosos em sites pertencentes a domínios recém-registrados. Após investigações mais aprofundadas, os especialistas identificaram que os materiais audiovisuais estavam hospedados, em sua maioria, em um único domínio: Belmar-marketing.online.

Modus operandi

Os primeiros vídeos disseminaram uma campanha promovendo um esquema de investimento chamado Quantum AI. Os pesquisadores estudaram a produção em questão para acompanhar sua disseminação ao longo do tempo. Por meio da infraestrutura utilizada, várias outras campanhas foram reveladas em diferentes partes do mundo.

Os criminosos aplicaram temas completamente diferentes em suas várias tentativas de golpe, desenvolvidas em diversos idiomas, utilizando a imagem de figuras públicas e líderes empresariais, sugerindo que cada campanha foi projetada para alcançar um público-alvo diferente.

Na maioria dos casos, um áudio falso, gerado por Inteligência Artificial, era adicionado a um vídeo legítimo. Finalmente, foi utilizada tecnologia de sincronização labial para modificar os movimentos do orador, ajustando-os ao áudio manipulado. Em parte considerável dos conteúdos, a imagem de Elon Musk foi utilizada, embora outras personalidades públicas também tenham sido identificadas.

Geralmente, os grupos que criam esses golpes utilizam, a princípio, anúncios em redes sociais ou notícias falsas para direcionar os usuários a páginas web fictícias, que solicitam informações de contato das vítimas.

Após o usuário visitar a página inicial enganosa e preencher um formulário de inscrição, um dos golpistas liga para o mesmo. Durante a chamada, é informada a necessidade de pagar um valor inicial para obter acesso à plataforma.

Posteriormente, o atacante instrui as vítimas a baixarem um aplicativo para que possam "investir" mais dinheiro. Dentro do aplicativo, um painel exibe pequenos lucros. A partir disso, os criminosos continuam a persuasão para que sejam depositados valores monetários ainda maiores, e podem até permitir que seja retirada uma pequena quantia, como forma de conquista da confiança do alvo.

Por fim, quando as pessoas lesadas tentam sacar os fundos, são solicitadas taxas de saque ou informados outros motivos pelos quais o dinheiro não pode ser retirado. Neste ponto, os criminosos bloqueiam a conta, retendo o restante dos fundos, levando as vítimas a perderem grande parte do que investiram na "plataforma".

Apesar do uso de Inteligência Artificial Generativa (GenAI) nessas campanhas, técnicas tradicionais de investigação ainda são úteis para identificar a infraestrutura de hospedagem usada pelos agentes enganadores. No entanto, à medida que o uso malicioso da tecnologia cresce, a capacidade e sofisticação dos sistemas de segurança para detectar e prevenir proativamente esse tipo de ataque também deve aumentar.

Os pesquisadores da Palo Alto Networks continuam monitorando essas atividades criminosas baseadas em deepfake, bem como outras técnicas de golpe, para alertar os usuários e promover a prevenção através de filtros avançados de URL, disponíveis no link.

Sobre a Palo Alto Networks

A Palo Alto Networks é líder mundial em cibersegurança. Inovamos para superar as ameaças cibernéticas, para que as organizações possam adotar a tecnologia com confiança. Fornecemos segurança cibernética de última geração para milhares de clientes em todo o mundo, em todos os setores. Nossas melhores plataformas e serviços de segurança cibernética são apoiados por inteligência de ameaças líder do setor e fortalecidos por automação de última geração.

Seja implantando nossos produtos para habilitar o Zero Trust Enterprise, respondendo a um incidente de segurança ou fazendo parceria para fornecer melhores resultados de segurança por meio de um ecossistema de parceiros de classe mundial, estamos comprometidos em ajudar a garantir que cada dia seja mais seguro do que o anterior. É o que nos torna o parceiro de cibersegurança preferido. Na Palo Alto Networks, estamos comprometidos em reunir as melhores pessoas a serviço de nossa missão, por isso também estamos orgulhosos de ser o local de trabalho de segurança cibernética preferido, reconhecido entre os locais de trabalho mais amados da Newsweek (2022), Comparably Best Companies for Diversity (2021) e HRC Best Places for LGBTQ Equality (2022). Para obter mais informações, visite www.paloaltonetworks.com