Archive LiveRead-only public record · No ads · No tracking
CASE / PT BR / KEITARO TDS EXPOSED
[REDACTED] TDS ao vivo: Distribuição de tráfego
The Enablers Registry·Editorial mirror·/pt-br/keitaro-tds-exposed
Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.
O mecanismo de camuflagem por trás de todos os golpes que você nunca viu. O THE ENABLERS REGISTRY analisou mais de 50.000 sites, descobriu 1.565 painéis de administração do [REDACTED] TDS e não encontrou nenhuma instalação legítima. Todos os painéis estavam ligados a fraudes com criptomoedas, possibly phishing, distribuição de malware ou coisas ainda piores. Entre os clientes estão a EvilCorp, o ransomware LockBit e o VexTrio. O kit de ferramentas de detecção de código aberto, a metodologia de 7 pontos e o arquivo CSV completo do painel já foram lançados.
O [REDACTED] TDS é um sistema comercial de distribuição de tráfego comercializado pela Apliteni OU, uma empresa constituída em Estônia. À primeira vista, o serviço se apresenta como uma ferramenta de gerenciamento de tráfego para profissionais de marketing de afiliados. Na prática, trata-se do mecanismo de cloaking mais amplamente utilizado no ecossistema global de golpes.
O cloaking é a arte de exibir conteúdos diferentes para visitantes distintos. Quando um pesquisador de segurança, um revisor de anúncios ou um agente da lei acessa uma URL, o [REDACTED] os identifica e exibe uma página limpa e inofensiva. Quando uma vítima real acessa o mesmo URL, ela é redirecionada para golpes envolvendo criptomoedas, páginas de possibly phishing, downloads de malware ou sites fraudulentos de comércio eletrônico. A vítima nunca vê a versão limpa. O analista nunca vê o golpe.
Os preços do [REDACTED] variam de €40 a €400 por mês, posicionando-a como uma infraestrutura de combate à fraude de nível empresarial. Ela armazena dados de visitantes por até 9,75 anos, proporcionando aos operadores um enorme conjunto de dados com impressões digitais das vítimas, dados geográficos e perfis comportamentais. Todos esses dados estão armazenados em Infraestrutura da AWS, o que significa que a Amazon, sem saber, está hospedando a infraestrutura de milhares de operações fraudulentas.
Empresa de fachada
Apliteni OU opera a partir da Estônia, aproveitando o programa de e-Residency do país e as leis favoráveis à privacidade corporativa. A empresa mantém uma aparência de legitimidade por meio de marketing profissional, documentação e atendimento ao cliente — embora toda implantação mensurável de seu produto esteja ligada a atividades criminosas. Eles cobram de €40 a €400 por mês pelo que é, na prática, uma plataforma de “golpe como serviço” com quase uma década de retenção de dados.
Os números: 1.565 painéis, nenhum legítimo
A investigação do THE ENABLERS REGISTRY começou com uma hipótese simples: se o [REDACTED] TDS tem usos legítimos, deveríamos encontrá-los em grande escala. Analisamos Mais de 50.000 sites utilizando uma combinação de ferramentas automatizadas e verificação manual, buscando especificamente por indícios do [REDACTED] TDS. O que descobrimos foi inequívoco.
1.565 painéis de administração do [REDACTED] ativos foram descobertos. Analisamos cada um deles. O resultado: zero implantações legítimas. Nenhum painel estava sendo utilizado para marketing de afiliados dentro da lei, testes A/B ou qualquer outro propósito inofensivo. Todos os painéis — 100% — estavam ligados a atividades criminosas.
1,565
Painéis ativos
100%
Índice de atividades maliciosas
Mais de 50 mil
Sites verificados
9,75 anos
Retenção máxima de dados
Discriminação das categorias de abuso
Os 1.565 painéis foram distribuídos por seis categorias principais de abuso. Muitos painéis atendiam a várias categorias simultaneamente, utilizando o roteamento de tráfego do [REDACTED] para direcionar as vítimas a diferentes tipos de golpes com base na localização geográfica, no dispositivo ou na hora do dia.
Categoria de abuso
Descrição
Golpes envolvendo criptomoedas
Plataformas de investimento falsas, aplicativos que esvaziam carteiras, páginas de destino que enganam os usuários
Possibly phishing
Roubo de credenciais de bancos, provedores de e-mail e redes sociais
Distribuição de malware
Entrega de loaders, preparação de ransomware, downloads automáticos
Fraude no comércio eletrônico
Lojas fraudulentas, produtos falsificados, clonagem de cartões de pagamento
Golpes em sites de namoro
Fraudes românticas, páginas de destino para sextorsão, perfis falsos
Fraude em jogos de azar
Cassinos sem licença, plataformas de apostas fraudulentas, roubo de depósitos
Nota metodológica
Cada painel foi verificado por meio de pelo menos dois métodos de detecção independentes antes de ser classificado. Os falsos positivos foram analisados manualmente e excluídos. O número de 1.565 refere-se apenas às instalações confirmadas e ativas do [REDACTED] — o número real de implantações, incluindo aquelas protegidas por camadas adicionais de segurança, é certamente maior.
Lista de clientes de direito penal
O [REDACTED] TDS não é usado apenas por golpistas de pouca monta. É a infraestrutura de ocultação preferida por algumas das organizações cibercriminosas mais perigosas do planeta. Aqui estão os clientes documentados:
EvilCorp
A organização criminosa cibernética russa, alvo de sanções, utiliza o [REDACTED] para contornar as sanções internacionais. Ao ocultar suas operações por meio da distribuição de tráfego do [REDACTED], a EvilCorp consegue burlar os próprios controles de segurança criados para desmantelá-la. Cada clique encaminhado pelo [REDACTED] representa uma violação das sanções possibilitada pelo software da Apliteni OU.
Ransomware LockBit
O grupo de ransomware LockBit utilizou o [REDACTED] para a distribuição de malware, aproveitando seus recursos de camuflagem para garantir que apenas os alvos reais recebessem as cargas de ransomware, enquanto as sandboxes de segurança e os pesquisadores visualizassem conteúdo inofensivo. O [REDACTED] atuou como um multiplicador de força em uma das operações de ransomware mais destrutivas da história.
VexTrio
O maior cliente conhecido da [REDACTED]. A VexTrio opera com Mais de 60 afiliados e controles Mais de 86.832 domínios, todos canalizando o tráfego por meio do mecanismo de distribuição do [REDACTED]. Essa única operação representa uma parcela enorme do tráfego de anúncios maliciosos da internet, e o [REDACTED] é a espinha dorsal que mantém tudo isso invisível.
ClearFake
O ClearFake insere avisos falsos de atualização do navegador em sites comprometidos, distribuindo malware quando as vítimas clicam em “Atualizar”. A tecnologia de camuflagem do [REDACTED] garante que apenas os visitantes reais vejam a sobreposição maliciosa — os scanners de segurança veem o site original, sem malware. O resultado: distribuição de malware com taxas de detecção praticamente nulas.
FakeBat
O FakeBat é um carregador de malware distribuído por meio de campanhas publicitárias maliciosas. O [REDACTED] direciona o tráfego publicitário por meio de um mecanismo de decisão: as ferramentas de segurança são redirecionadas para páginas legítimas de download de software, enquanto os usuários reais recebem instaladores infectados com trojans. O [REDACTED] torna as campanhas de publicidade maliciosa do FakeBat praticamente invisíveis para as equipes de segurança das plataformas de publicidade.
Sósia
Uma campanha de desinformação ligada ao Estado russo que utiliza o [REDACTED] para divulgar propaganda nas redes sociais ocidentais. A identificação geográfica e de dispositivos do [REDACTED] garante que os moderadores de conteúdo e os verificadores de fatos vejam um conteúdo diferente daquele exibido ao público-alvo. Guerra de informação, impulsionada por um software comercial da Estônia.
"Encontramos rastros do [REDACTED] em todas as principais operações de crime cibernético que investigamos nos últimos 18 meses. Não é coincidência — é o padrão do setor para os criminosos."
Ao longo desta investigação, o THE ENABLERS REGISTRY desenvolveu sete métodos independentes para identificar implantações do [REDACTED] TDS. Cada método tem como alvo uma assinatura digital diferente deixada pelo [REDACTED] e, juntos, formam uma estrutura abrangente de detecção que agora está disponível como ferramentas de código aberto.
1. /click_api/v3 Ponto final
Endpoint da API principal do [REDACTED] para processamento de eventos de clique. Esse caminho está codificado no software e está presente em todas as instalações. Verificar a existência desse endpoint é a maneira mais rápida de confirmar uma implantação do [REDACTED]. Uma resposta 200 ou 302 nesse caminho é uma identificação positiva quase certa.
2. _lp / _token / _subid Parâmetros de URL
O [REDACTED] acrescenta parâmetros de rastreamento específicos às URLs durante as cadeias de redirecionamento. O _lp O parâmetro identifica a página de destino, _token realiza a autenticação de sessão e _subid rastreia fontes de subafiliados. Esses parâmetros são exclusivos do [REDACTED] e raramente aparecem em sistemas legítimos de gerenciamento de tráfego.
O [REDACTED] define cookies exclusivos para rastrear as sessões dos visitantes e manter o estado de ocultação. Esses cookies seguem convenções de nomenclatura diferentes das plataformas de análise padrão, o que os torna identificáveis por meio da inspeção do navegador ou da análise automatizada de cookies.
4. Padrões de cabeçalhos de resposta
As respostas do servidor do [REDACTED] contêm padrões característicos de cabeçalhos HTTP, incluindo diretivas específicas de controle de cache, cabeçalhos personalizados e sequências de identificação do servidor que diferem dos servidores web padrão. Esses cabeçalhos permanecem mesmo quando os operadores tentam personalizar suas instalações.
5. Cadeias de redirecionamento em JavaScript
O [REDACTED] implementa redirecionamentos em JavaScript em várias etapas para avaliar as “impressões digitais” dos visitantes antes de decidir se exibe a página fraudulenta ou a página legítima. Essas cadeias de redirecionamento seguem padrões previsíveis — nomes de variáveis específicos, sequências temporais e lógica de avaliação — que podem ser detectados por meio da análise estática e dinâmica de JavaScript.
Mapa de calor mundial: 1.565 painéis [REDACTED] TDS detectados em todo o mundo, 0 usos legítimos encontrados
6. Análise de padrões de domínio
Os operadores do [REDACTED] costumam registrar domínios seguindo convenções de nomenclatura e padrões de registro previsíveis. A análise em massa de domínios revela grupos de domínios com dados WHOIS, datas de registro, configurações de servidores de nomes e provedores de hospedagem semelhantes — tudo isso indicando implantações coordenadas do [REDACTED].
7. Identificação do painel de administração
Os painéis de administração do [REDACTED] podem ser acessados por meio de caminhos conhecidos e retornam estruturas HTML específicas, nomes de classes CSS e arquivos JavaScript. Mesmo quando os operadores alteram a URL padrão de login, a estrutura front-end do painel deixa artefatos identificáveis que podem ser detectados por meio da enumeração de caminhos e da identificação de conteúdo.
Defesa em Profundidade
Nenhum método de detecção isolado é infalível. Operadores experientes podem desativar ou modificar assinaturas digitais específicas. É por isso que a metodologia de 7 pontos funciona como um sistema em camadas — mesmo que um operador elimine três ou quatro assinaturas, os métodos restantes ainda sinalizarão a implantação. Em nossos testes, todos os painéis [REDACTED] foram detectados por pelo menos quatro dos sete métodos.
Mapa Global de Infraestrutura
Os 1.565 painéis do [REDACTED] estão distribuídos por uma infraestrutura global de hospedagem que privilegia provedores de VPS de baixo custo e jurisdições com tempos de resposta lentos em casos de abuso. Veja a seguir onde esses painéis estão localizados:
Região
Provedores de hospedagem
Notas
Estados Unidos
DigitalOcean, Vultr
Maior concentração de painéis. A hospedagem nos EUA oferece tempos de resposta rápidos para vítimas da América do Norte.
Países Baixos
Vários VPS
Popular para campanhas voltadas para o mercado europeu. Políticas de hospedagem flexíveis.
Alemanha
Hetzner, diversos
Importante Hub de operações de possibly phishing e fraudes no comércio eletrônico direcionadas à União Europeia.
Rússia
Vários à prova de balas
Base de operações para muitos operadores. Provedores de hospedagem que não aplicam nenhuma política contra abusos.
Reino Unido
Várias nuvens
Utilizado para atacar instituições financeiras e serviços governamentais do Reino Unido.
Hong Kong
Cluster Femo
Grupo distinto de painéis associado a golpes envolvendo criptomoedas direcionados ao mercado asiático. O “grupo Femo” atua como um grupo coordenado.
Domínio dos EUA
Os Estados Unidos abrigam a maior concentração de painéis do [REDACTED], principalmente na DigitalOcean e na Vultr. Esses são provedores de nuvem tradicionais que processam denúncias de abuso — mas o volume de implantações e a velocidade com que os operadores criam novas instâncias fazem com que as equipes de combate ao abuso estejam constantemente tentando acompanhar o ritmo.
O Cluster Femo
Um cluster distinto de painéis [REDACTED] operando a partir de infraestrutura em Hong Kong, visando os mercados asiáticos com golpes envolvendo criptomoedas e fraudes relacionadas a jogos de azar. O “cluster Femo” apresenta padrões de implantação coordenados, sugerindo que um único operador ou grupo organizado gerencia dezenas de painéis simultaneamente.
Back-end da AWS
Independentemente de onde os painéis front-end estejam hospedados, o armazenamento de dados principal do [REDACTED] é executado em Amazon Web Services (AWS). Isso significa que impressões digitais de visitantes, registros de redirecionamento e dados de segmentação referentes a, potencialmente, milhões de vítimas de golpes estão armazenados na infraestrutura da Amazon. Com um período de retenção de dados de até 9,75 anos, a AWS hospeda um dos maiores bancos de dados de vítimas de golpes que existem.
Lançamento de ferramentas de código aberto
Paralelamente a essa investigação, o THE ENABLERS REGISTRY está lançando um conjunto completo de ferramentas de detecção de código aberto. Todas as ferramentas são gratuitas, não exigem chaves de API e podem ser implantadas imediatamente. O conjunto de dados completo, com 1.565 painéis, está incluído.
Todas as ferramentas, dados e evidências estão publicados em enablers.report/ScamIntelLogs/[REDACTED]/. O repositório é público e será atualizado à medida que novos painéis forem descobertos. Contribuições da comunidade e métodos adicionais de detecção são bem-vindos.
Detectar, Denunciar, Desmantelar
Como detectamos os painéis TDS da [REDACTED] — metodologia de identificação por impressão digital Fluxo de tráfego do [REDACTED] TDS — como painéis maliciosos redirecionam as vítimas
O [REDACTED] TDS é a infraestrutura invisível que mantém os golpes em atividade. Cada painel que você denuncia, cada detecção que você faz e cada conjunto de dados que você compartilha ajuda a desmantelar esse ecossistema. Use as ferramentas. Compartilhe os dados. Denuncie o que encontrar.