Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / MOZ FAKE EXTENSIONS PAID MEDIA

Mais de 150 extensões falsas da [REDACTED]: um único backend, uma única rede

The Enablers Registry·Editorial mirror·/pt-br/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigação • 6 a 8 minutos de leitura

Mais de 150 extensões falsas da [REDACTED] — Um único backend e mídia paga

A mídia atribuiu a culpa aos “ursos russos” por mais de 150 extensões falsas da [REDACTED]. Nossas descobertas revelam uma infraestrutura nigeriana (IP 185.208.156.66), kits de possibly phishing reutilizados e como artigos pagos ajudaram a espalhar o mito.

Publicado originalmente em Médio — THE ENABLERS REGISTRY

A narrativa enganosa

Uma história sobre "Mais de 150 extensões falsas da [REDACTED]" A história ligada a uma suposta “pista russa” ganhou destaque nos principais veículos de comunicação especializados em criptomoedas e segurança. Parece dramático, mas nossa análise mostra que essa narrativa é enganosa — e, pior ainda, isso protege os verdadeiros culpados.

Mais de 150 extensões de baixa qualidade em um único backend

Todas as extensões desta campanha foram:

  • Não é original; parece ter sido copiado e colado.
  • Apenas os logotipos e os nomes variavam.
  • Tudo conectado a um backend único.
IP do backend: 185.208.156.66
O domínio do backend era [REDACTED]/app.php. A maioria dos domínios vinculados a esse IP já não está mais ativa, mas os arquivos preservaram instantâneos por meio do Urlscan e do WebArchive.

Nossas ações contra essa campanha

Como grupo independente de inteligência contra ameaças, especializado na remoção de infraestruturas de possibly phishing e golpes, nós:

  • Enviei relatórios diretamente à [REDACTED] para sinalizar extensões maliciosas.
  • Encaminhado para [REDACTED], solicitando assistência profissional para acelerar a proibição.
  • Publicamos um relatório no Chainabuse para dar visibilidade à comunidade.
  • Injetou milhões de frases-semente vazias no backend dos invasores para corromper os dados roubados.

Por que essa infraestrutura não é “russa”

Os agentes mal-intencionados de língua russa costumam usar:

  • Back-ends distribuídos (IANA #1910 Workers, Firebase, Amazon, links exclusivos por campanha).
  • Ofuscação e redundância para evitar pontos únicos de falha.

Em vez disso, essa campanha mostrou:

  • A Provedor de hospedagem nigeriano.
  • Domínios vizinhos associados a golpes bancários, carteiras de criptomoedas falsas e golpes envolvendo entregas falsas.
  • Uma conta do [REDACTED] que recebia dados roubados ligados a um Operadora nigeriana.
"Grupos russos criam infraestruturas sofisticadas. Essa era barata, centralizada e pouco sofisticada — exatamente o que já vimos antes em servidores nigerianos."

O problema da mídia paga

A veiculação de anúncios em mídias pagas acarreta sérias consequências:

  1. Um artigo remunerado é publicado em um veículo de comunicação conceituado.
  2. Centenas de sites menores, blogs e canais do [REDACTED] reescrevem ou traduzem esse conteúdo.
  3. Em poucos dias, isso se transforma em uma narrativa falsa de grande alcance, com a ilusão de credibilidade.
"As vítimas percebem ‘o rastro russo’, acreditam que o caso está encerrado e deixam de denunciar às autoridades. Os verdadeiros criminosos continuam impunes."

Exemplo: Angel Drainer

Todos os principais veículos de comunicação publicaram manchetes sobre "O Angel Drainer foi desativado após a identificação dos desenvolvedores." Mas será que era verdade — ou apenas mais uma publicidade paga, repetida até parecer credível? Para os criminosos, comprar artigos é trocado; para as vítimas, isso muda tudo.

Empresas de segurança cibernética contratando seus próprios serviços de relações públicas

As empresas de segurança cibernética pagam dezenas de milhares de dólares por artigos sobre elas mesmas, suas pesquisas e seu impacto. Isso levanta questões fundamentais:

  • Por que uma empresa de segurança cibernética de verdade precisa pagar por cobertura?
  • Será que estão tentando encobrir os rastros do verdadeiro hacker?
  • Ou usar a identidade do hacker para chantagem ou para obter vantagem competitiva?
  • O objetivo é fortalecer a confiança — ou manipular a percepção para obter lucro?
"Se a segurança cibernética se tornar mais um jogo de relações públicas, em que os fatos são moldados por quem paga mais, a confiança nessa área entrará em colapso."

Evidências do mercado

Essa prática não é segredo:

  • No Fiverr, no Upwork e em plataformas especializadas em relações públicas, é possível adquirir diretamente “artigos como convidado”.
  • Os fornecedores enviam planilhas do Google Sheets com dezenas de pontos de venda e preços — incluindo marcas conhecidas de segurança cibernética.
  • Alguns prometem: “por um valor adicional, sem rótulo patrocinado”.

Os objetivos declarados para a compra de artigos incluem:

  • Criação de links (SEO).
  • Tráfego e vendas.
  • Conscientização sobre a marca.
  • Gestão de reputação (ocultação de informações negativas).
  • Verificação social.
  • Listas de publicações para pedidos de visto.

Os custos mencionados incluem mais de $20,000 para vagas remuneradas em entrevistas com os principais veículos de mídia especializados em criptomoedas.

"Isso não é jornalismo. É um mercado — onde a credibilidade é comprada e vendida."

Negócios x Mentiras

Publicar conteúdo pago não é ilegal — é um negócio. Mas quando isso ultrapassa os limites de divulgar alegações falsas, desviar o rumo das investigações e disfarçar relações públicas como se fossem fatos, passa a fazer parte do problema.

Conclusão

O THE ENABLERS REGISTRY é uma iniciativa independente de segurança cibernética que não recebe remuneração, não vende anúncios nem tem fins lucrativos. Os fatos são claros:

  • Mais de 150 extensões da [REDACTED] direcionadas para um único servidor de back-end em uma hospedagem na Nigéria.
  • Os dados foram enviados para uma conta do [REDACTED] na Nigéria.
  • A narrativa da “pista russa” é uma invenção.
  • A cobertura da mídia paga amplificou essa invenção até que parecesse verdade.
  • Até mesmo as próprias empresas de segurança cibernética pagam por autopromoção.
"Vender anúncios é negócio. Vender mentiras como se fossem fatos protege os criminosos. E quando até mesmo o setor de segurança cibernética vende narrativas, as vítimas — e a justiça — saem perdendo."

Isenção de responsabilidade

Não estamos acusando nenhum indivíduo, empresa ou veículo de comunicação. Todos os fatos são de domínio público e podem ser verificados por meio de arquivos públicos, digitalizações e relatórios. A verdadeira questão é: Por que essas narrativas são controladas e amplificadas? Quem se beneficia quando uma empresa de segurança desconhecida publica uma mega-investigação imprecisa que desvia a atenção dos verdadeiros responsáveis?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Compartilhe esta investigação

Investigações relacionadas

[REDACTED] TDS: 1.500 painéis expostos, zero uso legítimo
INVESTIGAÇÃO
[REDACTED] TDS: 1.500 painéis expostos, zero uso legítimo
Malware “BlockBlasters” no [REDACTED]: negligência da plataforma exposta
INVESTIGAÇÃO
Malware “BlockBlasters” no [REDACTED]: negligência da plataforma exposta
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end de golpes

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings