Uma nova pesquisa da Infoblox Threat Intel e da Confiant revela que cibercriminosos estão utilizando o Keitaro, uma ferramenta amplamente utilizada para rastrear o desempenho de anúncios, para ocultar golpes e malware por trás de tráfego web comum; muitos deles se passando especificamente por oportunidades de investimento em IA.
As chamadas técnicas de cloaking tornaram-se um elemento central do cibercrime moderno, permitindo que criminosos façam sites maliciosos parecerem seguros. O estudo conjunto oferece a primeira análise longitudinal sobre como uma ferramenta comercial amplamente utilizada, o Keitaro Tracker, vem sendo explorada por hackers.
Ao longo de um período de quatro meses, os pesquisadores identificaram milhares de instâncias maliciosas do Keitaro que utilizavam ocultação de domínio para direcionar vítimas a golpes e malwares, enquanto exibiam conteúdo benigno para outros usuários. Paralelamente, houve colaboração com a Keitaro para derrubar essas operações e aprofundar o entendimento sobre o uso de licenças roubadas.
Em vez de construir infraestrutura personalizada, muitos hackers compram ou pirateiam softwares comerciais de rastreamento que já fazem o que eles precisam. O design robusto e self-hosted do Keitaro, aliado à sua facilidade de implantação, o torna atraente tanto para profissionais de marketing legítimos quanto, infelizmente, para os cibercriminosos.
As principais conclusões da pesquisa incluem:
Primeira visão longitudinal do abuso do Keitaro em larga escala
A Infoblox e a Confiant examinaram quatro meses de atividade do Keitaro a partir de 1º de outubro de 2025 e encontraram aproximadamente 15,5 mil domínios usados ativamente para instâncias maliciosas do Keitaro. Essas infraestruturas ocultavam desde golpes de investimento até malware para roubo de informações, com tráfego proveniente de sites comprometidos, spam, mídias sociais e publicidade online.
Cloaking (camuflagem) como infraestrutura do crime
O estudo confirma que a camuflagem de domínio, implementada por meio de sistemas de distribuição de tráfego (TDSs) e kits de camuflagem, tornou-se um componente essencial das operações de cibercriminosos. As técnicas de cloaking são usadas para burlar restrições de anúncios e conteúdo, atingir vítimas com precisão e até mesmo proteger agentes maliciosos uns dos outros. Muitos agentes não constroem mais seus próprios sistemas, optando por explorar rastreadores comerciais como o Keitaro, que funciona como infraestrutura pronta para uso, oferecendo a mesma conveniência tanto para profissionais de marketing quanto para criminosos. Embora o Keitaro Tracker não ofereça mais suporte a integrações com sistemas de cloaking, os hackers ainda conseguem usar seus recursos indevidamente dessa forma.
Golpes de investimento com temática de IA passam a dominar o uso malicioso do Keitaro
Entre as ameaças que exploram o Keitaro, os golpes de investimento foram, de longe, a principal categoria. Uma tendência recente nesses golpes é o uso de IA como principal chamariz de marketing: páginas rotineiramente afirmam oferecer “Tecnologia de Negociação Inteligente com IA” ou “Soluções de Negociação Inteligentes” que automatizam as negociações e prometem retornos exorbitantes, às vezes reforçados com imagens ou vídeos deepfake. Os pesquisadores também observaram indícios de que a IA generativa está sendo usada programaticamente para produzir em massa manchetes, textos e recursos visuais para páginas de isca e imagens de anúncios.
Duas perspectivas complementares revelam um ecossistema muito maior
Na produção desta pesquisa, a Confiant contribuiu com visibilidade em toda a cadeia de publicidade, enquanto a Infoblox se concentrou em como as ameaças aparecem no DNS, com o apoio de análises de spam e conteúdo de sites. Essa combinação de perspectivas proporcionou aos pesquisadores uma ampla compreensão do cenário.
- “Durante anos, o Keitaro surgiu em investigações individuais, mas ninguém parou para perguntar qual era a real dimensão do problema”, disse a Dra. Renée Burton, vice-presidente de Inteligência de Ameaças da Infoblox. “Descobrimos que o Keitaro aparecia frequentemente em campanhas maliciosas, mas a história não é realmente sobre o Keitaro; ele é apenas um participante em um ecossistema que cibercriminosos estão usando para escalar e direcionar ataques em todo o mundo.”
Leia a postagem completa do blog aqui: https://www.infoblox.com/blog/threat-intelligence/inside-keitaro-abuse-a-persistent-stream-of-ai-driven-investment-scams/
