Mais de 150 extensões falsas da Mozilla — Um único backend e mídia paga
A mídia atribuiu a culpa aos “ursos russos” por mais de 150 extensões falsas da Mozilla. Nossas descobertas revelam uma infraestrutura nigeriana (IP 185.208.156.66), kits de phishing reutilizados e como artigos pagos ajudaram a espalhar o mito.
A narrativa enganosa
Uma história sobre "Mais de 150 extensões falsas da Mozilla" A história ligada a uma suposta “pista russa” ganhou destaque nos principais veículos de comunicação especializados em criptomoedas e segurança. Parece dramático, mas nossa análise mostra que essa narrativa é enganosa — e, pior ainda, isso protege os verdadeiros culpados.
Mais de 150 extensões de baixa qualidade em um único backend
Todas as extensões desta campanha foram:
- Não é original; parece ter sido copiado e colado.
- Apenas os logotipos e os nomes variavam.
- Tudo conectado a um backend único.
185.208.156.66O domínio do backend era
alladdsite[.]digital/app.php. A maioria dos domínios vinculados a esse IP já não está mais ativa, mas os arquivos preservaram instantâneos por meio do Urlscan e do WebArchive. Nossas ações contra essa campanha
Como grupo independente de inteligência contra ameaças, especializado na remoção de infraestruturas de phishing e golpes, nós:
- Enviei relatórios diretamente à Mozilla para sinalizar extensões maliciosas.
- Encaminhado para SEAL, solicitando assistência profissional para acelerar a proibição.
- Publicamos um relatório no Chainabuse para dar visibilidade à comunidade.
- Injetou milhões de frases-semente vazias no backend dos invasores para corromper os dados roubados.
Por que essa infraestrutura não é “russa”
Os agentes mal-intencionados de língua russa costumam usar:
- Back-ends distribuídos (Cloudflare Workers, Firebase, Amazon, links exclusivos por campanha).
- Ofuscação e redundância para evitar pontos únicos de falha.
Em vez disso, essa campanha mostrou:
- A Provedor de hospedagem nigeriano.
- Domínios vizinhos associados a golpes bancários, carteiras de criptomoedas falsas e golpes envolvendo entregas falsas.
- Uma conta do Telegram que recebia dados roubados ligados a um Operadora nigeriana.
O problema da mídia paga
A veiculação de anúncios em mídias pagas acarreta sérias consequências:
- Um artigo remunerado é publicado em um veículo de comunicação conceituado.
- Centenas de sites menores, blogs e canais do Telegram reescrevem ou traduzem esse conteúdo.
- Em poucos dias, isso se transforma em uma narrativa falsa de grande alcance, com a ilusão de credibilidade.
Exemplo: Angel Drainer
Todos os principais veículos de comunicação publicaram manchetes sobre "O Angel Drainer foi desativado após a identificação dos desenvolvedores." Mas será que era verdade — ou apenas mais uma publicidade paga, repetida até parecer credível? Para os criminosos, comprar artigos é trocado; para as vítimas, isso muda tudo.
Empresas de segurança cibernética contratando seus próprios serviços de relações públicas
As empresas de segurança cibernética pagam dezenas de milhares de dólares por artigos sobre elas mesmas, suas pesquisas e seu impacto. Isso levanta questões fundamentais:
- Por que uma empresa de segurança cibernética de verdade precisa pagar por cobertura?
- Será que estão tentando encobrir os rastros do verdadeiro hacker?
- Ou usar a identidade do hacker para chantagem ou para obter vantagem competitiva?
- O objetivo é fortalecer a confiança — ou manipular a percepção para obter lucro?
Evidências do mercado
Essa prática não é segredo:
- No Fiverr, no Upwork e em plataformas especializadas em relações públicas, é possível adquirir diretamente “artigos como convidado”.
- Os fornecedores enviam planilhas do Google Sheets com dezenas de pontos de venda e preços — incluindo marcas conhecidas de segurança cibernética.
- Alguns prometem: “por um valor adicional, sem rótulo patrocinado”.
Os objetivos declarados para a compra de artigos incluem:
- Criação de links (SEO).
- Tráfego e vendas.
- Conscientização sobre a marca.
- Gestão de reputação (ocultação de informações negativas).
- Verificação social.
- Listas de publicações para pedidos de visto.
Os custos mencionados incluem mais de $20,000 para vagas remuneradas em entrevistas com os principais veículos de mídia especializados em criptomoedas.
Negócios x Mentiras
Publicar conteúdo pago não é ilegal — é um negócio. Mas quando isso ultrapassa os limites de divulgar alegações falsas, desviar o rumo das investigações e disfarçar relações públicas como se fossem fatos, passa a fazer parte do problema.
Conclusão
O PhishDestroy é uma iniciativa independente de segurança cibernética que não recebe remuneração, não vende anúncios nem tem fins lucrativos. Os fatos são claros:
- Mais de 150 extensões da Mozilla direcionadas para um único servidor de back-end em uma hospedagem na Nigéria.
- Os dados foram enviados para uma conta do Telegram na Nigéria.
- A narrativa da “pista russa” é uma invenção.
- A cobertura da mídia paga amplificou essa invenção até que parecesse verdade.
- Até mesmo as próprias empresas de segurança cibernética pagam por autopromoção.
Isenção de responsabilidade
Não estamos acusando nenhum indivíduo, empresa ou veículo de comunicação. Todos os fatos são de domínio público e podem ser verificados por meio de arquivos públicos, digitalizações e relatórios. A verdadeira questão é: Por que essas narrativas são controladas e amplificadas? Quem se beneficia quando uma empresa de segurança desconhecida publica uma mega-investigação imprecisa que desvia a atenção dos verdadeiros responsáveis?



