Voltar às notícias

Investigação do ScamIntelLogs + Lançamento da ferramenta

Keitaro TDS: 1.500 painéis expostos e nenhum uso legítimo identificado

O mecanismo de camuflagem por trás de todos os golpes que você nunca viu. O PhishDestroy analisou mais de 50.000 sites, descobriu 1.565 painéis de administração do Keitaro TDS e não encontrou nenhuma instalação legítima. Todos os painéis estavam ligados a fraudes com criptomoedas, phishing, distribuição de malware ou coisas ainda piores. Entre os clientes estão a EvilCorp, o ransomware LockBit e o VexTrio. O kit de ferramentas de detecção de código aberto, a metodologia de 7 pontos e o arquivo CSV completo do painel já foram lançados.

1.565 painéis encontradosTaxa de malícia de 100%7 Métodos de detecçãoLançamento de 4 ferramentas
Keitaro TDS: A Verdade Revelada
0
Painéis de administração encontrados
50,000+
Sites verificados
0%
Usos legítimos
7
Métodos de detecção

O que é o Keitaro TDS?

O Keitaro TDS é um sistema comercial de distribuição de tráfego comercializado pela Apliteni OU, uma empresa constituída em Estônia. À primeira vista, o serviço se apresenta como uma ferramenta de gerenciamento de tráfego para profissionais de marketing de afiliados. Na prática, trata-se do mecanismo de cloaking mais amplamente utilizado no ecossistema global de golpes.

O cloaking é a arte de exibir conteúdos diferentes para visitantes distintos. Quando um pesquisador de segurança, um revisor de anúncios ou um agente da lei acessa uma URL, o Keitaro os identifica e exibe uma página limpa e inofensiva. Quando uma vítima real acessa o mesmo URL, ela é redirecionada para golpes envolvendo criptomoedas, páginas de phishing, downloads de malware ou sites fraudulentos de comércio eletrônico. A vítima nunca vê a versão limpa. O analista nunca vê o golpe.

Os preços do Keitaro variam de €40 a €400 por mês, posicionando-a como uma infraestrutura de combate à fraude de nível empresarial. Ela armazena dados de visitantes por até 9,75 anos, proporcionando aos operadores um enorme conjunto de dados com impressões digitais das vítimas, dados geográficos e perfis comportamentais. Todos esses dados estão armazenados em Infraestrutura da AWS, o que significa que a Amazon, sem saber, está hospedando a infraestrutura de milhares de operações fraudulentas.

Empresa de fachada

Apliteni OU opera a partir da Estônia, aproveitando o programa de e-Residency do país e as leis favoráveis à privacidade corporativa. A empresa mantém uma aparência de legitimidade por meio de marketing profissional, documentação e atendimento ao cliente — embora toda implantação mensurável de seu produto esteja ligada a atividades criminosas. Eles cobram de €40 a €400 por mês pelo que é, na prática, uma plataforma de “golpe como serviço” com quase uma década de retenção de dados.

Os números: 1.565 painéis, nenhum legítimo

A investigação do PhishDestroy começou com uma hipótese simples: se o Keitaro TDS tem usos legítimos, deveríamos encontrá-los em grande escala. Analisamos Mais de 50.000 sites utilizando uma combinação de ferramentas automatizadas e verificação manual, buscando especificamente por indícios do Keitaro TDS. O que descobrimos foi inequívoco.

1.565 painéis de administração do Keitaro ativos foram descobertos. Analisamos cada um deles. O resultado: zero implantações legítimas. Nenhum painel estava sendo utilizado para marketing de afiliados dentro da lei, testes A/B ou qualquer outro propósito inofensivo. Todos os painéis — 100% — estavam ligados a atividades criminosas.

1,565
Painéis ativos
100%
Índice de atividades maliciosas
Mais de 50 mil
Sites verificados
9,75 anos
Retenção máxima de dados

Discriminação das categorias de abuso

Os 1.565 painéis foram distribuídos por seis categorias principais de abuso. Muitos painéis atendiam a várias categorias simultaneamente, utilizando o roteamento de tráfego do Keitaro para direcionar as vítimas a diferentes tipos de golpes com base na localização geográfica, no dispositivo ou na hora do dia.

Categoria de abusoDescrição
Golpes envolvendo criptomoedas Plataformas de investimento falsas, aplicativos que esvaziam carteiras, páginas de destino que enganam os usuários
Phishing Roubo de credenciais de bancos, provedores de e-mail e redes sociais
Distribuição de malwareEntrega de loaders, preparação de ransomware, downloads automáticos
Fraude no comércio eletrônicoLojas fraudulentas, produtos falsificados, clonagem de cartões de pagamento
Golpes em sites de namoroFraudes românticas, páginas de destino para sextorsão, perfis falsos
Fraude em jogos de azar Cassinos sem licença, plataformas de apostas fraudulentas, roubo de depósitos

Nota metodológica

Cada painel foi verificado por meio de pelo menos dois métodos de detecção independentes antes de ser classificado. Os falsos positivos foram analisados manualmente e excluídos. O número de 1.565 refere-se apenas às instalações confirmadas e ativas do Keitaro — o número real de implantações, incluindo aquelas protegidas por camadas adicionais de segurança, é certamente maior.

Lista de clientes de direito penal

O Keitaro TDS não é usado apenas por golpistas de pouca monta. É a infraestrutura de ocultação preferida por algumas das organizações cibercriminosas mais perigosas do planeta. Aqui estão os clientes documentados:

EvilCorp

A organização criminosa cibernética russa, alvo de sanções, utiliza o Keitaro para contornar as sanções internacionais. Ao ocultar suas operações por meio da distribuição de tráfego do Keitaro, a EvilCorp consegue burlar os próprios controles de segurança criados para desmantelá-la. Cada clique encaminhado pelo Keitaro representa uma violação das sanções possibilitada pelo software da Apliteni OU.

Ransomware LockBit

O grupo de ransomware LockBit utilizou o Keitaro para a distribuição de malware, aproveitando seus recursos de camuflagem para garantir que apenas os alvos reais recebessem as cargas de ransomware, enquanto as sandboxes de segurança e os pesquisadores visualizassem conteúdo inofensivo. O Keitaro atuou como um multiplicador de força em uma das operações de ransomware mais destrutivas da história.

VexTrio

O maior cliente conhecido da Keitaro. A VexTrio opera com Mais de 60 afiliados e controles Mais de 86.832 domínios, todos canalizando o tráfego por meio do mecanismo de distribuição do Keitaro. Essa única operação representa uma parcela enorme do tráfego de anúncios maliciosos da internet, e o Keitaro é a espinha dorsal que mantém tudo isso invisível.

ClearFake

O ClearFake insere avisos falsos de atualização do navegador em sites comprometidos, distribuindo malware quando as vítimas clicam em “Atualizar”. A tecnologia de camuflagem do Keitaro garante que apenas os visitantes reais vejam a sobreposição maliciosa — os scanners de segurança veem o site original, sem malware. O resultado: distribuição de malware com taxas de detecção praticamente nulas.

FakeBat

O FakeBat é um carregador de malware distribuído por meio de campanhas publicitárias maliciosas. O Keitaro direciona o tráfego publicitário por meio de um mecanismo de decisão: as ferramentas de segurança são redirecionadas para páginas legítimas de download de software, enquanto os usuários reais recebem instaladores infectados com trojans. O Keitaro torna as campanhas de publicidade maliciosa do FakeBat praticamente invisíveis para as equipes de segurança das plataformas de publicidade.

Sósia

Uma campanha de desinformação ligada ao Estado russo que utiliza o Keitaro para divulgar propaganda nas redes sociais ocidentais. A identificação geográfica e de dispositivos do Keitaro garante que os moderadores de conteúdo e os verificadores de fatos vejam um conteúdo diferente daquele exibido ao público-alvo. Guerra de informação, impulsionada por um software comercial da Estônia.

"Encontramos rastros do Keitaro em todas as principais operações de crime cibernético que investigamos nos últimos 18 meses. Não é coincidência — é o padrão do setor para os criminosos."

— Equipe de Pesquisa do PhishDestroy

Metodologia de detecção em 7 pontos

Ao longo desta investigação, o PhishDestroy desenvolveu sete métodos independentes para identificar implantações do Keitaro TDS. Cada método tem como alvo uma assinatura digital diferente deixada pelo Keitaro e, juntos, formam uma estrutura abrangente de detecção que agora está disponível como ferramentas de código aberto.

1. /click_api/v3 Ponto final

Endpoint da API principal do Keitaro para processamento de eventos de clique. Esse caminho está codificado no software e está presente em todas as instalações. Verificar a existência desse endpoint é a maneira mais rápida de confirmar uma implantação do Keitaro. Uma resposta 200 ou 302 nesse caminho é uma identificação positiva quase certa.

2. _lp / _token / _subid Parâmetros de URL

O Keitaro acrescenta parâmetros de rastreamento específicos às URLs durante as cadeias de redirecionamento. O _lp O parâmetro identifica a página de destino, _token realiza a autenticação de sessão e _subid rastreia fontes de subafiliados. Esses parâmetros são exclusivos do Keitaro e raramente aparecem em sistemas legítimos de gerenciamento de tráfego.

3. Biscoitos exclusivos do Keitaro

O Keitaro define cookies exclusivos para rastrear as sessões dos visitantes e manter o estado de ocultação. Esses cookies seguem convenções de nomenclatura diferentes das plataformas de análise padrão, o que os torna identificáveis por meio da inspeção do navegador ou da análise automatizada de cookies.

4. Padrões de cabeçalhos de resposta

As respostas do servidor do Keitaro contêm padrões característicos de cabeçalhos HTTP, incluindo diretivas específicas de controle de cache, cabeçalhos personalizados e sequências de identificação do servidor que diferem dos servidores web padrão. Esses cabeçalhos permanecem mesmo quando os operadores tentam personalizar suas instalações.

5. Cadeias de redirecionamento em JavaScript

O Keitaro implementa redirecionamentos em JavaScript em várias etapas para avaliar as “impressões digitais” dos visitantes antes de decidir se exibe a página fraudulenta ou a página legítima. Essas cadeias de redirecionamento seguem padrões previsíveis — nomes de variáveis específicos, sequências temporais e lógica de avaliação — que podem ser detectados por meio da análise estática e dinâmica de JavaScript.

Mapa de calor mundial: 1.565 painéis Keitaro TDS detectados em todo o mundo, 0 usos legítimos encontrados
Mapa de calor mundial: 1.565 painéis Keitaro TDS detectados em todo o mundo, 0 usos legítimos encontrados
6. Análise de padrões de domínio

Os operadores do Keitaro costumam registrar domínios seguindo convenções de nomenclatura e padrões de registro previsíveis. A análise em massa de domínios revela grupos de domínios com dados WHOIS, datas de registro, configurações de servidores de nomes e provedores de hospedagem semelhantes — tudo isso indicando implantações coordenadas do Keitaro.

7. Identificação do painel de administração

Os painéis de administração do Keitaro podem ser acessados por meio de caminhos conhecidos e retornam estruturas HTML específicas, nomes de classes CSS e arquivos JavaScript. Mesmo quando os operadores alteram a URL padrão de login, a estrutura front-end do painel deixa artefatos identificáveis que podem ser detectados por meio da enumeração de caminhos e da identificação de conteúdo.

Defesa em Profundidade

Nenhum método de detecção isolado é infalível. Operadores experientes podem desativar ou modificar assinaturas digitais específicas. É por isso que a metodologia de 7 pontos funciona como um sistema em camadas — mesmo que um operador elimine três ou quatro assinaturas, os métodos restantes ainda sinalizarão a implantação. Em nossos testes, todos os painéis Keitaro foram detectados por pelo menos quatro dos sete métodos.

Mapa Global de Infraestrutura

Os 1.565 painéis do Keitaro estão distribuídos por uma infraestrutura global de hospedagem que privilegia provedores de VPS de baixo custo e jurisdições com tempos de resposta lentos em casos de abuso. Veja a seguir onde esses painéis estão localizados:

RegiãoProvedores de hospedagemNotas
Estados UnidosDigitalOcean, Vultr Maior concentração de painéis. A hospedagem nos EUA oferece tempos de resposta rápidos para vítimas da América do Norte.
Países BaixosVários VPS Popular para campanhas voltadas para o mercado europeu. Políticas de hospedagem flexíveis.
AlemanhaHetzner, diversos Importante Hub de operações de phishing e fraudes no comércio eletrônico direcionadas à União Europeia.
RússiaVários à prova de balas Base de operações para muitos operadores. Provedores de hospedagem que não aplicam nenhuma política contra abusos.
Reino UnidoVárias nuvens Utilizado para atacar instituições financeiras e serviços governamentais do Reino Unido.
Hong KongCluster Femo Grupo distinto de painéis associado a golpes envolvendo criptomoedas direcionados ao mercado asiático. O “grupo Femo” atua como um grupo coordenado.

Domínio dos EUA

Os Estados Unidos abrigam a maior concentração de painéis do Keitaro, principalmente na DigitalOcean e na Vultr. Esses são provedores de nuvem tradicionais que processam denúncias de abuso — mas o volume de implantações e a velocidade com que os operadores criam novas instâncias fazem com que as equipes de combate ao abuso estejam constantemente tentando acompanhar o ritmo.

O Cluster Femo

Um cluster distinto de painéis Keitaro operando a partir de infraestrutura em Hong Kong, visando os mercados asiáticos com golpes envolvendo criptomoedas e fraudes relacionadas a jogos de azar. O “cluster Femo” apresenta padrões de implantação coordenados, sugerindo que um único operador ou grupo organizado gerencia dezenas de painéis simultaneamente.

Back-end da AWS

Independentemente de onde os painéis front-end estejam hospedados, o armazenamento de dados principal do Keitaro é executado em Amazon Web Services (AWS). Isso significa que impressões digitais de visitantes, registros de redirecionamento e dados de segmentação referentes a, potencialmente, milhões de vítimas de golpes estão armazenados na infraestrutura da Amazon. Com um período de retenção de dados de até 9,75 anos, a AWS hospeda um dos maiores bancos de dados de vítimas de golpes que existem.

Lançamento de ferramentas de código aberto

Paralelamente a essa investigação, o PhishDestroy está lançando um conjunto completo de ferramentas de detecção de código aberto. Todas as ferramentas são gratuitas, não exigem chaves de API e podem ser implantadas imediatamente. O conjunto de dados completo, com 1.565 painéis, está incluído.

Repositório Completo de Evidências

Todas as ferramentas, dados e evidências estão publicados em phishdestroy.io/ScamIntelLogs/keitaro/. O repositório é público e será atualizado à medida que novos painéis forem descobertos. Contribuições da comunidade e métodos adicionais de detecção são bem-vindos.

Detectar, Denunciar, Desmantelar

Como detectamos os painéis TDS da Keitaro — metodologia de identificação por impressão digital
Como detectamos os painéis TDS da Keitaro — metodologia de identificação por impressão digital
Fluxo de tráfego do Keitaro TDS — como painéis maliciosos redirecionam as vítimas
Fluxo de tráfego do Keitaro TDS — como painéis maliciosos redirecionam as vítimas

O Keitaro TDS é a infraestrutura invisível que mantém os golpes em atividade. Cada painel que você denuncia, cada detecção que você faz e cada conjunto de dados que você compartilha ajuda a desmantelar esse ecossistema. Use as ferramentas. Compartilhe os dados. Denuncie o que encontrar.

#KeitaroTDS#TrafficDistribution#Malvertising#ScamInfra#Investigation

Pesquisas relacionadas

A epidemia dos cassinos falsos: 5 grupos desmascarados
Análise comparativa de 4 operações de PaaS de cassino, envolvendo 383 vítimas confirmadas em mais de 30 países.
Kit de ferramentas “Crypto Drainer” é revelado
Como o TRXDrop e o NiceCrypto se aproveitam das conexões com carteiras para roubar ativos criptográficos.
O Projeto: Um império de fraudes de US$ 10 milhões
Por dentro do império da fraude que conduz operações de fraude industrializadas em grande escala.
Comparação entre grupos de golpistas
Comparação lado a lado das estruturas, ferramentas e métodos operacionais de grupos organizados de golpes.
Ferramentas e serviços da PhishDestroy
Conjunto completo de ferramentas de código aberto para detecção, análise e geração de relatórios, destinadas a pesquisadores de segurança.
Anatomia de uma remoção
Guia passo a passo de como desativamos infraestruturas de phishing.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →