Na semana passada, falámos sobre uma aplicação que promete aos utilizadores que eles podem ganhar dinheiro testando jogos ou até mesmo apenas navegando pelo TikTok.
Imagine a nossa surpresa quando acabámos num site que promovia essa mesma aplicação Freecash enquanto investigávamos um phishing de «armazenamento na nuvem». Provavelmente todos já vimos um desses. Eles são bastante comuns e, de acordo com uma investigação recente da BleepingComputer, há um
«Campanha fraudulenta em grande escala de subscrição de armazenamento em nuvem, visando utilizadores em todo o mundo com e-mails repetidos alertando falsamente os destinatários de que as suas fotos, ficheiros e contas estão prestes a ser bloqueados ou eliminados devido a uma suposta falha no pagamento.»
Com base na descrição desse artigo, o e-mail que encontramos parece fazer parte dessa campanha.
O assunto do e-mail é:
“{Recipient}. Your Cloud Account has been locked on Sat, 24 Jan 2026 09:57:55 -0500. Your photos and videos will be removed!”
Isso corresponde a uma das linhas de assunto listadas pelo BleepingComputer.
E o conteúdo do e-mail:
“Problema de pagamento – Armazenamento em nuvem
Caro utilizador,
Encontrámos um problema ao tentar renovar a sua subscrição do Cloud Storage.
Infelizmente, o seu método de pagamento expirou. Para garantir que a sua nuvem continue sem interrupções, atualize os seus dados de pagamento.
ID da subscrição: 9371188
Produto: Armazenamento em nuvem Premium
Data de validade: sábado, 24 de janeiro de 2026
Se não atualizar as suas informações de pagamento, poderá perder o acesso ao seu Cloud Storage, o que poderá impedir que guarde e sincronize os seus dados, como fotos, vídeos e documentos.
Atualizar detalhes de pagamento {botão de ligação}
Recomendações de segurança:
- Aceda sempre à sua conta através do nosso site oficial.
- Nunca partilhe a sua palavra-passe com ninguém
- Certifique-se de que as suas informações de contacto e faturação estão atualizadas.
O link no e-mail leva a https://storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html#/redirect.html, o que ajuda o burlão a estabelecer um certo nível de confiança, pois aponta para o Google Cloud Storage (GCS). O GCS é um serviço legítimo que permite que utilizadores autorizados armazenem e gerenciem dados, como ficheiros, imagens e vídeos em buckets. No entanto, como neste caso, os atacantes podem abusar dele para phishing.
O redirecionamento leva alguns parâmetros para o próximo site.
O feed.headquartoonjpn[.]com O domínio foi bloqueado pelo Malwarebytes. Já vimos isso antes numa campanha anterior envolvendo um phishing com o tema Endurance.
Após mais alguns redirecionamentos, acabámos por chegar a hx5.submitloading[.]com, onde um CAPTCHA falso acionou o último redirecionamento para freecash[.]com, uma vez resolvido.
O objetivo final deste phishing provavelmente depende dos parâmetros passados durante os redirecionamentos, portanto, os resultados podem variar.
Em vez de roubar credenciais diretamente, a campanha parece ter sido concebida para monetizar o tráfego, canalizando as vítimas para ofertas de afiliados, nas quais os operadores são pagos por inscrições ou conversões.
A BleepingComputer observou que eles foram redirecionados para sites de marketing afiliado de vários produtos.
Os produtos promovidos nesta campanha de phishing incluem VPN , software de segurança pouco conhecido e outras ofertas baseadas em assinatura sem qualquer ligação ao armazenamento na nuvem.
Como se manter seguro
Ironicamente, o próprio e-mail de phishing inclui alguns conselhos válidos:
- Aceda sempre à sua conta através do nosso site oficial.
- Nunca partilhe a sua palavra-passe com ninguém.
Gostaríamos de acrescentar:
- Nunca clique em links em e-mails não solicitados sem verificar com uma fonte confiável.
- Use uma solução antimalware atualizada e em tempo real com um componente de proteção da web.
- Não interaja com sites que atraem visitantes dessa forma.
Dica profissional: Malwarebytes Guard teria ajudado a identificar este e-mail como uma fraude e fornecido orientações sobre como proceder.
Redirecionamento de fluxo (IOCs)
storage.googleapis[.]com/qzsdqdqsd/dsfsdxc.html
feed.headquartoonjpn[.]com
revivejudgemental[.]com
hx5.submitloading[.]com
freecash[.]com
Atualização em 5 de fevereiro de 2026
A Almedia GmbH, empresa responsável pela plataforma Freecash, entrou em contacto connosco para obter informações sobre a cadeia de redirecionamentos que levam à sua plataforma. Após uma investigação, eles nos informaram que:
«Na sequência do relatório Malwarebytese das informações adicionais que nos foram fornecidas, investigámos a questão e identificámos um afiliado que estava a violar as nossas políticas. Esse parceiro foi removido da nossa rede.
A Almedia não vende dados de utilizadores e levamos a sério a conformidade, a confiança dos utilizadores e a publicidade responsável.
Não nos limitamos a informar sobre as burlas - ajudamos a detectá-las
Os riscos de cibersegurança nunca devem ir além de uma manchete. Se algo lhe parecer suspeito, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de ecrã, cole o conteúdo suspeito ou partilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
