Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas

Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas
Compartilhe

Um sindicato chinês do crime organizado, com ligações à lavagem de dinheiro e tráfico de pessoas no Sudeste Asiático, tem utilizado um avançado “conjunto de tecnologias” que controla todo o espectro da cadeia de suprimentos do crime cibernético para liderar suas operações.

A Infoblox está rastreando o proprietário e mantenedor, conhecido pelo apelido Vigorish Viper, e observou que ele é desenvolvido pelo Yabo Group (também conhecido como Yabo Sports), que anteriormente esteve envolvido em operações ilegais de apostas e golpes de abate de porcos. No final de 2022, o grupo foi renomeado para Kaiyun Sports e posteriormente foi absorvido por outra entidade recém-formada chamada Ponymuah.

Crimes Cibernéticos

O pacote, comercializado na China como “baowang” (“包网”, que significa pacote completo), inclui vários componentes, como configurações de Domain Name System (DNS), hospedagem de sites, mecanismos de pagamento, publicidade e aplicativos móveis. Ele também hospeda milhares de nomes de domínio e inúmeras marcas em uma infraestrutura vinculada a Hong Kong e China.

A empresa depende de garantir patrocínios de clubes de futebol europeus usando empresas de fachada ou marcas de marca branca, utilizando-os como um “multiplicador de força” para promover sites de apostas ilegais na região, com o objetivo de atrair mais apostadores. Em julho de 2023, foi relatado que logotipos de empresas de apostas apareceram 3.500 vezes durante uma partida de futebol televisionada.

Yabo, Ponymuah e outras ramificações relacionadas, como OB (também conhecida como OBGM), DB Gaming, Panda Sports, KM Gaming e Smart King Games (SKG), fazem parte da extensa rede da Vigorish Viper, destacando a propriedade confusa e obscura das empresas de jogos de azar e as medidas meticulosas tomadas para evitar o escrutínio.

Não foram apenas os clubes de futebol ingleses que se envolveram nesses patrocínios; a investigação revelou que times de críquete e kabaddi na Índia também firmaram acordos semelhantes para anunciar as marcas Vigorish Viper.

“O Vigorish Viper opera uma vasta rede de mais de 170.000 nomes de domínio ativos, evitando a detecção e a aplicação da lei através do uso sofisticado de sistemas de distribuição de tráfego DNS CNAME”, afirmaram os pesquisadores da Infoblox Maël Le Touz, Jacques Portal, Renée Burton e Elena Puga em um relatório exaustivo compartilhado com o The Hacker News.

“Além de apostas, o sistema de distribuição de tráfego CNAME do Vigorish Viper atende sites ilegais de streaming e pornografia. Alguns dos domínios usados para streaming são domínios registrados há muito tempo que o Vigorish Viper adquiriu após a expiração do registro original.”

Burton, vice-presidente de inteligência de ameaças da Infoblox, descreveu o agente de ameaças como “uma das ameaças mais sofisticadas e significativas à segurança digital” descobertas até o momento.

Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas

“A Vigorish Viper criou uma infraestrutura complexa com múltiplas camadas de sistemas de distribuição de tráfego (TDSs) utilizando registros DNS CNAME e JavaScript, o que a torna extremamente difícil de detectar”, afirmou Burton em uma declaração. “Esses sistemas são complementados por comunicações criptografadas próprias e aplicativos desenvolvidos sob medida, tornando suas atividades não apenas elusivas, mas também notavelmente resilientes.”

Isso envolve o uso de registros DNS CNAME para redirecionar o tráfego de um domínio para outro, uma técnica anteriormente adotada por outros agentes de ameaça DNS, como o Savvy Seahorse. Além disso, o sistema pode diferenciar entre endereços IP residenciais, móveis e comerciais na China.

No início de janeiro, a iniciativa Play the Game do Instituto Dinamarquês de Estudos Esportivos descobriu conexões entre dezenas de clubes de futebol europeus e marcas de jogos de azar ilegais que podem ser rastreadas até o Yabo, direcionadas a jurisdições como a China, onde jogos de azar são proibidos e considerados crime organizado.

Os crimes online também têm um aspecto offline envolvendo tráfico de pessoas, no qual as pessoas são atraídas com a promessa de empregos bem remunerados e são coagidas a apoiar esquemas de apostas esportivas e a promover golpes de abate de porcos e outros golpes com criptomoedas, de acordo com a Federação Asiática de Corridas (ARF).

“Operando em equipes de 8 a 10, alguns coordenam com comentaristas e locutores de esportes ao vivo (presumivelmente em transmissões piratas) para promover grupos de bate-papo ao vivo que comercializam sites de apostas durante os jogos”, de acordo com um relatório [PDF] divulgado pela ARF em outubro de 2023. “Outros atuam como gerentes de relacionamento para incentivar os clientes a continuar apostando e outros como agentes diretos de recrutamento de clientes.”

Especialistas descobrem rede chinesa de crimes cibernéticos por trás de jogos de azar e tráfico de pessoas

A Infoblox informou que sua investigação sobre o Vigorish Viper começou com a análise de um único domínio anômalo, kb[.]com – um site de apostas chamado KB Sports, que utiliza servidores de nomes chineses e também hospeda yabo[.]com, o domínio do Yabo Sports.

Um aspecto interessante a ser destacado é que o site é bloqueado geograficamente para usuários na França e em outras partes da Europa, mas pode ser acessado na China continental e nas regiões administrativas especiais de Hong Kong e Macau.

“Quando acessado de uma dessas áreas, o usuário é redirecionado para outro domínio — por exemplo, kb830[.]com”, explicaram os pesquisadores. “O domínio de redirecionamento muda ao longo do tempo. Além disso, toda a funcionalidade de ‘clique com o botão direito’ é desabilitada no site, assim como a seleção de texto, dificultando os esforços para investigar ou copiar o conteúdo do site.”

Os usuários do site recebem anúncios promovendo incentivos financeiros para apostas regulares, juntamente com opções de pagamento utilizando WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay e NetBank. As apostas são feitas por meio de agentes, que gerenciam os depósitos e se comunicam com os jogadores por meio de aplicativos de bate-papo criptografados e personalizados.

Uma análise mais aprofundada dos registros de consulta de DNS revelou que as atividades do Vigorish Viper vão além da China e alcançam usuários em todo o mundo.

Outros mecanismos de defesa incorporados nesses sites incluem a verificação periódica de sinais de atividade automatizada e a apresentação de um quebra-cabeça CAPTCHA para os visitantes, a fim de evitar possíveis tentativas de varredura, ou ao tentar entrar em contato com o suporte ao cliente, uma tarefa realizada por pessoas reais que foram traficadas para o Sudeste Asiático.

Além disso, os usuários que visitam um dos domínios da Vigorish Viper passam por várias rodadas de verificações de impressão digital para confirmar que o endereço IP está na China e que são legítimos antes de serem autorizados a apostar nos sites.

“Tanto o DNS quanto o software vinculam toda a operação da Vigorish Viper ao Yabo Sports ou Yabo Group”, afirmou a empresa. “Seu alcance se estende a dezenas de marcas, possivelmente centenas, e tem como alvo usuários além do Sudeste Asiático.”

“Apesar do grande número de nomes de domínio, sites e aplicativos associados, juntamente com sua presença evidente aos olhos do público, o Vigorish Viper opera diretamente e inexplicavelmente na RPC, sem enfrentar consequências significativas.”

Fontes: The Hacker News