Notícias, Informações sobre ameaças

Cofre de Recursos de Crédito: Por que esse e-mail sobre crédito acionou nossos alarmes de fraude

por Pieter Arntz | 15 de abril de 2026
crédito ilimitado

Se há algo que me irrita mais do que um golpista, são as empresas que agem como tal, mantendo-se, no entanto, dentro dos limites da lei. Elas conseguem se manter no mercado e decepcionar os clientes por anos a fio.

É também por isso que, às vezes, as pessoas pensam que Malwarebytes Scam Guard pode ser excessivamente cauteloso ao sinalizar sites. Alguns sites ficam em uma zona cinzenta, onde até mesmo pesquisadores experientes precisam examinar com cuidado para descobrir se algo é realmente uma fraude.

Foi exatamente isso que aconteceu aqui.

Após receber uma denúncia anônima de um cliente, iniciei uma investigação sobre um e-mail que o Scam Guard sinalizou como altamente suspeito.

O e-mail

O e-mail veio do endereço anna@cosmosshift[.]org e promoveu um serviço chamado Cofre de Recursos de Crédito, incentivando os destinatários a clicar em um botão com a inscrição Verifique agora se você se qualifica..

Há sinais de alerta imediatos:

  • O domínio do remetente (cosmosshift.org) não tem nenhuma ligação clara com serviços de crédito ou produtos financeiros. Não existe nenhuma instituição financeira chamada “Cosmos Shift”.
  • A mensagem cria um senso de urgência em relação à aprovação do crédito, uma tática clássica de pressão baseada em engenharia social.
  • Inclui um endereço físico e um link para cancelar a inscrição que parecem legítimos, mas que também constituem uma técnica comum de phishing conhecida como “lavagem de legitimidade”.

Ao contrário da maioria dos e-mails de phishing, este inclui uma saudação personalizada que menciona o endereço de e-mail do destinatário. Como o destinatário afirma nunca ter interagido com o remetente, isso sugere que seus dados podem ter vindo de um corretor de dados ou de uma violação de dados ocorrida anteriormente.

O site transmite uma imagem suspeita

Ao clicar no link, você será direcionado para (yourcreditvault.com), um site com aparência profissional que parece oferecer serviços de crédito.

Página inicial de Recursos de crédito
Página inicial de Recursos de crédito

Mas, ao analisar mais a fundo, encontramos mais sinais de alerta:

  • O site foi desenvolvido com Vite/React, um framework moderno de JavaScript mais comum em projetos paralelos de startups do que em serviços financeiros regulamentados.
  • Referências ao site bolt.new sugerem que ele pode ter sido criado com o uso de ferramentas de IA
  • Não há indícios visíveis de segurança de nível bancário. O código-fonte HTML mostra apenas uma estrutura básica do aplicativo, sem indícios de infraestrutura de criptografia do setor financeiro.
  • A identidade visual (incluindo o logotipo) parece ter sido criada às pressas
  • O pacote de JavaScript (index-B54Ghi53.js) por trás do formulário de envio está fortemente ofuscado: uma técnica usada por cibercriminosos para ocultar para onde os dados enviados estão sendo direcionados.

Nada disso, por si só, prova a existência de intenção maliciosa. Mas, em conjunto, tudo isso dá a entender que se trata de algo criado às pressas e projetado para coletar dados, em vez de oferecer um serviço financeiro robusto.

O formulário coleta dados e custa US$ 20 por semana

A maior preocupação é o formulário, que coleta uma quantidade extraordinária de dados para o que é apresentado como uma simples verificação de elegibilidade para crédito.

O formulário de inscrição
O formulário de inscrição

Ao monitorar o tráfego de rede durante o envio do formulário, conseguimos identificar exatamente quais campos são transmitidos:

  • Dados pessoais: nome, sobrenome, e-mail, telefone
  • Endereço: rua, cidade, estado, CEP
  • Dados bancários completos: nome do banco, código da instituição, código de trânsito, número da conta
  • Dados de acompanhamento relacionados a campanhas publicitárias
  • Uma assinatura desenhada na tela, que é enviada para o Google Drive do proprietário.

Isso é muito mais do que o necessário para uma verificação de elegibilidade para crédito.

Apenas com esses dados bancários, alguém pode configurar débitos pré-autorizados (PADs) fraudulentos. Um PAD é uma forma de débito bancário direto utilizada legitimamente por emissores de faturas, mas que também pode ser objeto de abuso.

Contrato de assinatura
Captura de tela ampliada da caixa na qual eles querem que seja colocada uma marca de seleção

E é exatamente isso que parece acontecer.

Uma pequena caixa de seleção, acompanhada de letras miúdas, autoriza a empresa a debitar US$ 20 por semana, de acordo com o contrato de débito automático (PAD) que o cliente acabou de assinar. Essa caixa de seleção tem dois objetivos: fornece aos operadores uma cobertura legal (“você concordou com isso!”) e transforma os dados da conta bancária que o formulário acabou de coletar em uma arma.

Focando nas pessoas em situação de vulnerabilidade financeira

Esta campanha parece ter como alvo deliberadamente pessoas com histórico de crédito fraco ou limitado. A promessa de “aprovação quando outros dizem não” é muito atraente, especialmente para pessoas que estão passando por dificuldades financeiras.

Não se trata de vítimas aleatórias, mas de pessoas que são alvo de ataques porque sua situação de necessidade as torna mais propensas a fornecer informações confidenciais sem verificar a fonte.

A cobrança de US$ 20 por semana pelo PAD (mais de US$ 1.000 por ano) pode resultar em saques a descoberto, cobrança de taxas e outros prejuízos financeiros.

Para onde vão os seus dados

Nossa análise do tráfego de rede revelou um back-end sofisticado e multisserviço que utiliza componentes individuais, todos os quais podem ser legítimos.

Supabase: Os dados da vítima são enviados por meio de uma solicitação POST para um projeto do Supabase:

POST https://bstvkdzfgpktokbiagsc.supabase.co/rest/v1/vault_memberships

O Supabase é uma plataforma de banco de dados em nuvem confiável e bem conceituada, que oferece planos gratuitos.

Brevo (anteriormente Sendinblue): Trata-se de uma plataforma legítima de envio em massa de e-mails. Ao inscrever as vítimas nessa plataforma, elas podem ser alvo de campanhas de acompanhamento por tempo indeterminado.

POST https://bstvkdzfgpktokbiagsc.supabase.co/functions/v1/add-to-brevo

Google Drive e Planilhas: O campo de dados de assinatura inclui um signature_drive_url, indicando que as assinaturas manuscritas das vítimas podem ser armazenadas na infraestrutura do Google Drive. A google_sheets_synced O campo confirma que os registros das vítimas recebidos são sincronizados com uma planilha do Google em tempo real, proporcionando aos operadores um painel de controle em tempo real com todas as pessoas que enviaram um formulário.

Individualmente, essas são plataformas confiáveis. Juntas, elas formam um sistema projetado para:

  • Coletar dados pessoais e bancários confidenciais
  • Guarde-o em formatos acessíveis
  • Adicionar usuários a campanhas de marketing em andamento ou até mesmo a campanhas de phishing

Em outras palavras, enviar o formulário não só coloca em risco sua conta bancária, como também pode fazer com que você seja incluído em uma lista de pessoas suscetíveis de serem alvo de novos ataques.

Infraestrutura

A infraestrutura por trás desta campanha abrange vários domínios:

  • cosmosshift[.]org (remetente do e-mail)
  • yourcreditvault[.]com (página de destino).
  • yourscore[.]ca (redirecionamento após o envio do formulário)
  • creditresources[.]ca (e-mail de acompanhamento que incluía o número de telefone 1-833-427-1562)
  • debtlesscredit[.]com (outro site que usa esse mesmo número de telefone)

O uso de vários domínios e a associação de um único número de telefone a mais de um domínio levantam suspeitas quanto à legitimidade da empresa.

Então, isso é uma fraude?

Isso depende de como você define isso.

Embora isso possa não se enquadrar na definição jurídica estrita de golpe, dá para entender por que o Scam Guard sinalizou o caso, já que muitas das táticas utilizadas aqui também são encontradas em e-mails de phishing e em sites fraudulentos.

As evidências sugerem que esses sites são operados por empresas reais, mas encontram-se claramente em uma zona cinzenta. Por um lado, possuem registros corporativos, sites públicos e, aparentemente, até mesmo alguns clientes satisfeitos. Por outro, o modelo de negócios — cobrar taxas recorrentes por “programas” de crédito ou dívida — tem gerado um fluxo constante de reclamações de consumidores e acusações de fraude. O uso de vários domínios (Credit Resources, Debtless Credit, Your Credit Vault) também aponta para uma estratégia de geração de leads comum no setor de alívio de dívidas.

Também é provável que essas empresas utilizem listas de e-mails compradas e possam ter encontrado o endereço de e-mail do nosso cliente em uma lista de possíveis candidatos. Infelizmente, listas como essas são compradas e vendidas tanto por profissionais de marketing legítimos quanto por cibercriminosos.

Entramos em contato com o remetente do e-mail e com a Credit Resources para obter comentários, mas não havíamos recebido resposta até o momento da publicação.

O que os cibercriminosos sabem sobre você?

Use a verificação gratuita Digital Footprint Malwarebytes para verificar se suas informações pessoais foram expostas online.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Logotipo do JDownloader

Os invasores substituíram os downloads do instalador do JDownloader por malware

Maio 15, 2026

O site do JDownloader foi invadido e os links para download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade no chat

Maio 15, 2026

O WhatsApp agora oferece conversas com IA que desaparecem, e a Meta afirma que não consegue lê-las. Já Instagram remover o recurso que impedia a Meta de ler suas mensagens.

Privacy
Logotipo do Yahoo Mail

Por que Malwarebytes alguns redirecionamentos do Yahoo Mail

Maio 14, 2026

Alguns usuários do Yahoo Mail podem receber Malwarebytes repetidos Malwarebytes devido a conexões em segundo plano com domínios de terceiros suspeitos. Veja o motivo.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes