Busca no Bing por "KakaoTalk": os 3 primeiros resultados são todos phishing vindo da China

Busca no Bing por "KakaoTalk": os 3 primeiros resultados são todos phishing vindo da China

Ao buscar por "KakaoTalk" no Bing, os 3 primeiros resultados (apps-kakaocorp[.]com, apps-kakaotalk[.]com, pc-kakaotalk[.]com) eram todos phishing. Como resultado da análise da infraestrutura e do código:

• Filtragem: sem Referer+UA, retorna 500/403 (evita acesso direto/scanners automáticos)
• Infraestrutura chinesa: registro via Tencent/DNSpod, análise 51.la, og:locale=zh-cn, vínculo com conta chinesa no Telegram
• Registro: os 3 domínios foram registrados em lote com intervalo de 1 segundo, no mesmo /24 subnet, com TLS emitido no mesmo dia
• Malware: instalador NSIS disfarçado de .scr → solicita privilégios de administrador → descriptografa o payload com DcryptDll.dll → grava em AppData
• Distribuição: os 3 domínios redirecionam para a mesma URL de CDN Cloudflare (download.i96l6[.]top, Alibaba Cloud)

Enquanto isso, o verdadeiro site oficial do KakaoTalk tinha sido empurrado para o 4º lugar. Como o mecanismo de busca padrão do Edge é o Bing, isso representa uma ameaça considerável para usuários que não alteraram a configuração

Detalhes

A estrutura de evasão de detecção é bastante sofisticada. A página de phishing é exibida apenas para usuários que chegam pelos resultados do mecanismo de busca, enquanto acessos diretos à URL ou scanners automáticos recebem uma página vazia. Por causa disso, serviços públicos de análise como urlscan.io não conseguem detectar o golpe, e mesmo que o usuário desconfie e verifique a URL diretamente, nada aparece, o que dificulta que isso resulte em denúncia.

A identificação dos atacantes é relativamente fácil. No código-fonte, há vários indicadores que apontam para origem chinesa, como código de rastreamento do 51.la (análise web chinesa), og:locale=zh-cn, caminho /wenzhang/ (文章) e contato no Telegram hardcoded. O registro dos domínios foi feito via Tencent/DNSpod, e a CDN passa pela Alibaba Cloud.

Os 3 domínios são, na prática, uma única operação. O Registry Domain ID é sequencial, os registros foram feitos em lote com intervalo de 1 segundo, estão na mesma /24 subnet, usam a mesma lógica de filtragem e a mesma URL de download. Para garantir diversidade de SEO, foi usada uma estrutura de template que altera apenas os metadados (seo_templates/index/zd/kk_1/2/3/).

Foi aplicado session gating no caminho de download. Ao acessar a página /download, é emitido um cookie PHPSESSID, e ao chamar /download.php, ocorre um redirecionamento 302 para a CDN externa (download.i96l6[.]top). Se download.php for acessado diretamente sem cookie, retorna 500.

O arquivo distribuído é um executável PE com extensão .scr (protetor de tela). Trata-se de um instalador NSIS v3.07 disfarçado com os metadados "Kakao Corp. / KakaoTalk Setup". Ele solicita privilégios de administrador e inclui internamente a DLL de descriptografia em tempo de execução (DcryptDll.dll) e componentes do WPS Office (Kingsoft). A estratégia é instalar ao mesmo tempo software legítimo e payload malicioso para reduzir a desconfiança do usuário.