Ir direto para o conteúdo principal
Investigação sobre extensões falsas da Mozilla
Investigação • 6 a 8 minutos de leitura

Mais de 150 extensões falsas da Mozilla — Um único backend e mídia paga

A mídia atribuiu a culpa aos “ursos russos” por mais de 150 extensões falsas da Mozilla. Nossas descobertas revelam uma infraestrutura nigeriana (IP 185.208.156.66), kits de phishing reutilizados e como artigos pagos ajudaram a espalhar o mito.

Publicado originalmente em Médio — PhishDestroy

A narrativa enganosa

Uma história sobre "Mais de 150 extensões falsas da Mozilla" A história ligada a uma suposta “pista russa” ganhou destaque nos principais veículos de comunicação especializados em criptomoedas e segurança. Parece dramático, mas nossa análise mostra que essa narrativa é enganosa — e, pior ainda, isso protege os verdadeiros culpados.

Mais de 150 extensões de baixa qualidade em um único backend

Todas as extensões desta campanha foram:

  • Não é original; parece ter sido copiado e colado.
  • Apenas os logotipos e os nomes variavam.
  • Tudo conectado a um backend único.
IP do backend: 185.208.156.66
O domínio do backend era alladdsite[.]digital/app.php. A maioria dos domínios vinculados a esse IP já não está mais ativa, mas os arquivos preservaram instantâneos por meio do Urlscan e do WebArchive.

Nossas ações contra essa campanha

Como grupo independente de inteligência contra ameaças, especializado na remoção de infraestruturas de phishing e golpes, nós:

  • Enviei relatórios diretamente à Mozilla para sinalizar extensões maliciosas.
  • Encaminhado para SEAL, solicitando assistência profissional para acelerar a proibição.
  • Publicamos um relatório no Chainabuse para dar visibilidade à comunidade.
  • Injetou milhões de frases-semente vazias no backend dos invasores para corromper os dados roubados.

Por que essa infraestrutura não é “russa”

Os agentes mal-intencionados de língua russa costumam usar:

  • Back-ends distribuídos (Cloudflare Workers, Firebase, Amazon, links exclusivos por campanha).
  • Ofuscação e redundância para evitar pontos únicos de falha.

Em vez disso, essa campanha mostrou:

  • A Provedor de hospedagem nigeriano.
  • Domínios vizinhos associados a golpes bancários, carteiras de criptomoedas falsas e golpes envolvendo entregas falsas.
  • Uma conta do Telegram que recebia dados roubados ligados a um Operadora nigeriana.
"Grupos russos criam infraestruturas sofisticadas. Essa era barata, centralizada e pouco sofisticada — exatamente o que já vimos antes em servidores nigerianos."

O problema da mídia paga

A veiculação de anúncios em mídias pagas acarreta sérias consequências:

  1. Um artigo remunerado é publicado em um veículo de comunicação conceituado.
  2. Centenas de sites menores, blogs e canais do Telegram reescrevem ou traduzem esse conteúdo.
  3. Em poucos dias, isso se transforma em uma narrativa falsa de grande alcance, com a ilusão de credibilidade.
"As vítimas percebem ‘o rastro russo’, acreditam que o caso está encerrado e deixam de denunciar às autoridades. Os verdadeiros criminosos continuam impunes."

Exemplo: Angel Drainer

Todos os principais veículos de comunicação publicaram manchetes sobre "O Angel Drainer foi desativado após a identificação dos desenvolvedores." Mas será que era verdade — ou apenas mais uma publicidade paga, repetida até parecer credível? Para os criminosos, comprar artigos é trocado; para as vítimas, isso muda tudo.

Empresas de segurança cibernética contratando seus próprios serviços de relações públicas

As empresas de segurança cibernética pagam dezenas de milhares de dólares por artigos sobre elas mesmas, suas pesquisas e seu impacto. Isso levanta questões fundamentais:

  • Por que uma empresa de segurança cibernética de verdade precisa pagar por cobertura?
  • Será que estão tentando encobrir os rastros do verdadeiro hacker?
  • Ou usar a identidade do hacker para chantagem ou para obter vantagem competitiva?
  • O objetivo é fortalecer a confiança — ou manipular a percepção para obter lucro?
"Se a segurança cibernética se tornar mais um jogo de relações públicas, em que os fatos são moldados por quem paga mais, a confiança nessa área entrará em colapso."

Evidências do mercado

Essa prática não é segredo:

  • No Fiverr, no Upwork e em plataformas especializadas em relações públicas, é possível adquirir diretamente “artigos como convidado”.
  • Os fornecedores enviam planilhas do Google Sheets com dezenas de pontos de venda e preços — incluindo marcas conhecidas de segurança cibernética.
  • Alguns prometem: “por um valor adicional, sem rótulo patrocinado”.

Os objetivos declarados para a compra de artigos incluem:

  • Criação de links (SEO).
  • Tráfego e vendas.
  • Conscientização sobre a marca.
  • Gestão de reputação (ocultação de informações negativas).
  • Verificação social.
  • Listas de publicações para pedidos de visto.

Os custos mencionados incluem mais de $20,000 para vagas remuneradas em entrevistas com os principais veículos de mídia especializados em criptomoedas.

"Isso não é jornalismo. É um mercado — onde a credibilidade é comprada e vendida."

Negócios x Mentiras

Publicar conteúdo pago não é ilegal — é um negócio. Mas quando isso ultrapassa os limites de divulgar alegações falsas, desviar o rumo das investigações e disfarçar relações públicas como se fossem fatos, passa a fazer parte do problema.

Conclusão

O PhishDestroy é uma iniciativa independente de segurança cibernética que não recebe remuneração, não vende anúncios nem tem fins lucrativos. Os fatos são claros:

  • Mais de 150 extensões da Mozilla direcionadas para um único servidor de back-end em uma hospedagem na Nigéria.
  • Os dados foram enviados para uma conta do Telegram na Nigéria.
  • A narrativa da “pista russa” é uma invenção.
  • A cobertura da mídia paga amplificou essa invenção até que parecesse verdade.
  • Até mesmo as próprias empresas de segurança cibernética pagam por autopromoção.
"Vender anúncios é negócio. Vender mentiras como se fossem fatos protege os criminosos. E quando até mesmo o setor de segurança cibernética vende narrativas, as vítimas — e a justiça — saem perdendo."

Isenção de responsabilidade

Não estamos acusando nenhum indivíduo, empresa ou veículo de comunicação. Todos os fatos são de domínio público e podem ser verificados por meio de arquivos públicos, digitalizações e relatórios. A verdadeira questão é: Por que essas narrativas são controladas e amplificadas? Quem se beneficia quando uma empresa de segurança desconhecida publica uma mega-investigação imprecisa que desvia a atenção dos verdadeiros responsáveis?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

Keitaro TDS: 1.500 painéis expostos, zero uso legítimo
INVESTIGAÇÃO
Keitaro TDS: 1.500 painéis expostos, zero uso legítimo
Malware “BlockBlasters” no Steam: negligência da plataforma exposta
INVESTIGAÇÃO
Malware “BlockBlasters” no Steam: negligência da plataforma exposta
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →