Golpes, Inteligência de Ameaças

Por dentro de uma rede com mais de 20.000 lojas falsas

por Stefan Dasic | 18 de março de 2026
Lojas falsas clonadas

Mapeamos uma vasta rede de lojas falsas composta por mais de 20.000 domínios, dezenas de endereços IP compartilhados e vitrines idênticas com nomes diferentes sobrepostos. Elas existem com um único objetivo: roubar seus dados de pagamento e informações pessoais. O fio condutor que une todas elas é o título de uma aba do navegador que a maioria das pessoas nem sequer notaria:“Seleção incomparável só para você.”

Vitrines bem arrumadas, armazéns vazios

As lojas falsas são sites fraudulentos criados para parecerem com lojas online legítimas. Elas apresentam listas de produtos, logotipos de marcas, avaliações de clientes, carrinhos de compras e páginas de finalização de compra que parecem funcionais. No entanto, elas nunca cumprem o que prometem. Em alguns casos, as vítimas não recebem absolutamente nada. Em outros, recebem uma imitação barata que vale apenas uma fração do preço anunciado.

De qualquer forma, o produto que está sendo vendido são os seus dados: essas lojas falsas coletam suas credenciais de pagamento, endereços de cobrança e dados pessoais e, em seguida, os revendem em mercados criminosos ou os utilizam diretamente para cometer fraude de identidade.

A dimensão do problema disparou. De acordo com dados recentes de inteligência de ameaças, os golpes envolvendo lojas virtuais falsas aumentaram 790% no primeiro trimestre de 2025 em comparação com o mesmo período do ano anterior, impulsionados em parte pela ansiedade econômica em torno das tarifas comerciais, que levou os consumidores a buscar alternativas mais baratas.

Somente durante a temporada de festas de 2024, os pesquisadores identificaram mais de 80 mil lojas falsas, muitas das quais desapareceram ou mudaram de marca em poucos dias. Dados de telemetria do setor coletados no final de 2025 revelaram que as lojas falsas representavam 65% de todas as ameaças bloqueadas nas redes sociais, YouTube Facebook YouTube principais plataformas de lançamento.

Essas operações estão cada vez mais industrializadas. Pesquisadores documentaram recentemente o FraudWear, uma campanha coordenada envolvendo mais de 30.000 lojas fraudulentas que se passavam por mais de 350 marcas de moda em todo o mundo.

Outra investigação revelou a existência do BogusBazaar, uma rede em formato de franquia na qual uma equipe central mantinha os servidores, o processamento de pagamentos e a infraestrutura de modelos, enquanto operadores descentralizados criavam lojas individuais a partir dessa base. Essa rede processou mais de um milhão de pedidos em 75.000 domínios desde 2021.

As lojas falsas têm sucesso porque se valem de comportamentos de compra comuns: clicar em anúncios, seguir resultados de pesquisa e acessar sites com aparência profissional. Além disso, elas aumentam a pressão psicológica com ofertas por tempo limitado, contadores regressivos e avisos de estoque esgotado.

A mesma loja, nomes diferentes

Ao investigar domínios suspeitos de comércio eletrônico, identificamos um conjunto de mais de 20.000 sites que compartilhavam padrões comuns de infraestrutura.

A maioria utilizou o domínio de nível superior (TLD) .shop, que se tornou um dos preferidos dos golpistas graças às taxas de registro baratas e a um nome que parece confiável. A extensão .shop figura agora entre os principais TLDs associados a spam e atividades maliciosas, de acordo com os dados de segurança de e-mail da Cloudflare.

Uma análise do código-fonte da página revelou o que une esses sites. Todos funcionam com o WordPress e são alimentados pela Sellvia, uma plataforma de comércio eletrônico legítima sediada nos Estados Unidos que permite aos usuários abrir rapidamente uma loja de dropshipping com modelos prontos, catálogos de produtos e processamento de pagamentos.

As lojas online reutilizam os temas da Sellvia e obtêm as imagens dos produtos a partir de sua rede. Os seis modelos “diferentes” que observamos são, na verdade, apenas dois temas básicos com variações estéticas. Aqui estão alguns exemplos, apresentados em pares para ilustrar como o mesmo modelo aparece sob nomes de marca completamente diferentes.

Imagem à esquerdaImagem correta
Imagem à esquerdaImagem correta
Imagem à esquerdaImagem correta
Imagem à esquerdaImagem correta
Imagem à esquerdaImagem correta
Imagem à esquerdaImagem correta

20.000 domínios, 36 endereços IP

Por trás das semelhanças visuais, essas lojas falsas compartilham uma infraestrutura comum. Todos os mais de 20.000 domínios apontam para um conjunto de apenas 36 endereços IP.

Esse nível de concentração não é comum entre os varejistas online legítimos. É uma característica marcante das operações de fraude em grande escala, nas quais um grupo administra os servidores e os modelos, enquanto operadores individuais criam domínios sobre essa estrutura.

Grande parte dessa atividade concentra-se em um pequeno número de intervalos de IP, incluindo blocos nos intervalos 207.244.x.x e 23.105.x.x. Essa concentração indica uma preferência por provedores de hospedagem específicos e uma configuração projetada para agilidade: criar um domínio, aplicar um modelo e colocar no ar.

Isso reflete o modelo de franquia observado em outras redes de lojas falsas. Um grupo central gerencia os servidores, os modelos e a configuração de pagamentos, enquanto os operadores registram domínios e lançam lojas virtuais sobre essa estrutura. Quando um site é sinalizado ou retirado do ar, outro toma seu lugar.

Mas essa mesma concentração também é um ponto fraco. Basta comprometer um pequeno número de servidores para tirar milhares de sites do ar.

Como se proteger de lojas falsas

Essas lojas falsas não são negócios independentes. Elas fazem parte de grandes operações padronizadas, concebidas para parecerem convincentes, agirem rapidamente e desaparecerem com a mesma rapidez.

Se um site parecer estranho, apressado ou bom demais para ser verdade, trate-o dessa forma. Alguns segundos a mais de verificação podem evitar que você entregue seu dinheiro e seus dados a cibercriminosos.

  • Use proteção para o navegador. Ferramentas como Malwarebytes Browser Guard podem bloquear sites fraudulentos conhecidos antes mesmo de você chegar à página de checkout.
  • Verifique o domínio com atenção. Tenha cuidado com extensões desconhecidas, como .shop, .top, .store e .xyz, especialmente quando combinadas com nomes genéricos que parecem ser de marcas. Se você nunca ouviu falar do varejista, esse já é um primeiro sinal.
  • Desconfie de descontos muito grandes. Se um produto estiver esgotado em todos os outros lugares, mas com um grande desconto em um site desconhecido, é uma isca.
  • Fique atento a lojas que parecem ter sido copiadas e coladas. Se vários sites apresentarem layouts, imagens de produtos e banners idênticos, mas com nomes diferentes, é provável que estejam usando o mesmo modelo. Lojas legítimas não funcionam assim.
  • Procure por avaliações independentes. Pesquise o nome da loja com termos como “avaliação” ou “fraude”. Se os únicos resultados forem o próprio site, isso já diz algo.
  • Não ignore seus instintos. Se algo parecer suspeito, pare. Não insira seus dados de pagamento só para “ver o que acontece”.
  • Use métodos de pagamento mais seguros. Os cartões de crédito oferecem maior proteção do que os de débito. Cartões virtuais ou serviços de pagamento podem adicionar uma camada extra de segurança entre seus dados e o vendedor.

Dica profissional: Malwarebytes bloqueia esses domínios por serem fraudulentos.

Indicadores de Compromisso (IOCs)

Endereços IP

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23/105/8/15
  • 23/105/8/17
  • 23/105/8/19
  • 23/08/2011
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las

Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Insetos
Apple

A Apple corrige uma falha no WebKit que poderia permitir que sites acessassem seus dados

Março 18, 2026

A Apple lançou uma atualização de segurança em segundo plano que corrige silenciosamente uma vulnerabilidade do WebKit (CVE-2026-20643).

Golpes
Site falso do Pudgy World

O site falso "Pudgy World" rouba suas senhas de criptomoedas

Março 17, 2026

O site de phishing não tem nenhuma ligação com a Igloo Inc. ou com os Pudgy Penguins, mas foi criado para atrair fãs e roubar suas senhas de criptomoedas.

Celular
Um cavalo de Tróia sobre rodas invade a tela de um smartphone

O Google toma medidas contra Android que abusam dos recursos de acessibilidade

Março 17, 2026

Há anos que o malware vem se aproveitando indevidamente dos recursos de acessibilidade Android. O Google acaba de tornar isso muito mais difícil.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes