Na semana passada, falamos sobre um aplicativo que promete aos usuários que eles podem ganhar dinheiro testando jogos ou até mesmo apenas navegando pelo TikTok.
Imagine nossa surpresa quando acabamos em um site promovendo esse mesmo aplicativo Freecash enquanto investigávamos um phishing de “armazenamento em nuvem”. Provavelmente todos nós já vimos um desses. Eles são bastante comuns e, de acordo com uma investigação recente da BleepingComputer, há um
“Campanha fraudulenta em grande escala de assinatura de armazenamento em nuvem direcionada a usuários em todo o mundo, com e-mails repetidos alertando falsamente os destinatários de que suas fotos, arquivos e contas estão prestes a ser bloqueados ou excluídos devido a uma suposta falha no pagamento.”
Com base na descrição desse artigo, o e-mail que encontramos parece fazer parte dessa campanha.
O assunto do e-mail é:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
Isso corresponde a uma das linhas de assunto listadas pelo BleepingComputer.
E o conteúdo do e-mail:
Problema de pagamento – Armazenamento em nuvem
Prezado usuário,
Encontramos um problema ao tentar renovar sua assinatura do Cloud Storage.
Infelizmente, seu método de pagamento expirou. Para garantir que sua nuvem continue sem interrupções, atualize seus dados de pagamento.
ID da assinatura: 9371188
Produto: Armazenamento em nuvem Premium
Data de validade: sábado, 24 de janeiro de 2026
Se você não atualizar suas informações de pagamento, poderá perder o acesso ao seu Armazenamento em nuvem, o que pode impedir que você salve e sincronize seus dados, como fotos, vídeos e documentos.
Atualizar detalhes de pagamento {botão de link}
Recomendações de segurança:
- Acesse sempre sua conta através do nosso site oficial.
- Nunca compartilhe sua senha com ninguém
- Certifique-se de que suas informações de contato e cobrança estejam atualizadas.
O link no e-mail leva a https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, o que ajuda o golpista a estabelecer um certo grau de confiança, pois aponta para o Google Cloud Storage (GCS). O GCS é um serviço legítimo que permite que usuários autorizados armazenem e gerenciem dados, como arquivos, imagens e vídeos em buckets. No entanto, como neste caso, os invasores podem abusar dele para phishing.
O redirecionamento leva alguns parâmetros para o próximo site.
O feed.headquartoonjpn[.]com O domínio foi bloqueado pelo Malwarebytes. Já vimos isso antes em uma campanha anterior envolvendo um phishing com o tema Endurance.
Após mais alguns redirecionamentos, acabamos chegando a hx5.submitloading[.]com, onde um CAPTCHA falso acionou o último redirecionamento para freecash[.]com, uma vez resolvido.
O objetivo final desse phishing provavelmente depende dos parâmetros passados durante os redirecionamentos, portanto, os resultados podem variar.
Em vez de roubar credenciais diretamente, a campanha parece ter sido projetada para monetizar o tráfego, direcionando as vítimas para ofertas de afiliados, nas quais os operadores são pagos por inscrições ou conversões.
O BleepingComputer observou que eles foram redirecionados para sites de marketing afiliado de vários produtos.
Os produtos promovidos nesta campanha de phishing incluem VPN , software de segurança pouco conhecido e outras ofertas baseadas em assinatura sem conexão com armazenamento em nuvem.
Como se manter seguro
Ironicamente, o próprio e-mail de phishing inclui alguns conselhos válidos:
- Acesse sempre sua conta através do nosso site oficial.
- Nunca compartilhe sua senha com ninguém.
Gostaríamos de acrescentar:
- Nunca clique em links em e-mails não solicitados sem verificar com uma fonte confiável.
- Use uma solução antimalware atualizada e em tempo real com um componente de proteção da web.
- Não interaja com sites que atraem visitantes dessa forma.
Dica profissional: Malwarebytes Guard teria ajudado você a identificar esse e-mail como uma fraude e fornecido orientações sobre como proceder.
Redirecionamento de fluxo (IOCs)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Atualização em 5 de fevereiro de 2026
A Almedia GmbH, empresa responsável pela plataforma Freecash, entrou em contato conosco para obter informações sobre a cadeia de redirecionamentos que levam à sua plataforma. Após uma investigação, eles nos informaram que:
“Após o relatório Malwarebytese as informações adicionais que eles compartilharam conosco, investigamos a questão e identificamos um afiliado operando em violação às nossas políticas. Esse parceiro foi removido da nossa rede.
A Almedia não vende dados de usuários e levamos a sério a conformidade, a confiança dos usuários e a publicidade responsável.
Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las
Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
