A ferramenta EvilURL, disponibilizada como open-source no GitHub pelo desenvolvedor italiano Marco Zatta sob o pseudônimo Middler, gera URLs com caracteres Unicode idênticos visualmente a domínios legítimos, permitindo criar páginas de phishing indistinguíveis das originais a olho nu. A técnica, conhecida como IDN homograph attack, explora a padronização internacional de nomes de domínio e continua a enganar milhões de usuários mesmo após alertas recorrentes de órgãos de segurança.

Pontos-chave

  • Ferramenta open-source para gerar URLs com caracteres Unicode similares a domínios legítimos
  • Explora IDN homograph attack, vulnerabilidade conhecida desde 2002
  • Permite substituir letras latinas por equivalentes cirílicos, gregos ou armênios
  • Engana usuários e filtros antispam mesmo em navegadores modernos
  • Usada em campanhas de phishing contra Google, Apple e serviços bancários

O que é o EvilURL

O EvilURL é um gerador de domínios maliciosos baseado em caracteres Unicode, lançado no GitHub em 2017 pelo desenvolvedor italiano identificado como Middler. A ferramenta automatiza a criação de URLs que parecem idênticas às de serviços legítimos como google.com, apple.com ou sites de bancos, mas utilizam caracteres de alfabetos diferentes — como cirílico, grego e armênio — que têm aparência visual idêntica às letras latinas.

O conceito por trás da ferramenta é anterior. A técnica conhecida como IDN homograph attack foi documentada em 2002 pelos pesquisadores Evgeniy Gabrilovich e Alex Gontmakher, da Technion (Israel Institute of Technology). Eles demonstraram que o padrão Internationalized Domain Names (IDN), que permite registrar domínios em alfabetos não latinos, abre brecha para criar endereços indistinguíveis dos legítimos.

O problema é estrutural. A letra ‘a’ latina (Unicode U+0061) e a letra ‘а’ cirílica (Unicode U+0430) têm aparência idêntica na maioria das fontes, mas são caracteres diferentes. Quando alguém registra apple.com usando ‘а’ cirílica, o navegador exibe o endereço de forma idêntica ao original. O EvilURL automatiza o processo de identificar quais caracteres podem ser substituídos e gerar variações plausíveis de qualquer domínio alvo.

Funcionalidades principais

A ferramenta oferece interface simples em linha de comando, com geração automatizada de variações maliciosas:

  • Geração de domínios homográficos: substitui letras latinas por equivalentes visuais em cirílico, grego, armênio e outros alfabetos suportados pelo padrão Punycode
  • Verificação de disponibilidade: consulta registros DNS para identificar quais variações homográficas estão disponíveis para registro
  • Suporte a múltiplos TLDs: gera variações para domínios .com, .net, .org e centenas de extensões regionais como .br, .eu e .ru
  • Conversão Punycode: mostra como cada URL será exibida internamente pelos navegadores (por exemplo, xn--google-7sd.com para variações de google.com)
  • Exportação de listas: gera arquivos CSV com todas as variações criadas, para uso em ferramentas de detecção e marcação de ameaças

Casos de uso documentados

Equipes de segurança corporativa usam o EvilURL de forma defensiva, identificando variações homográficas de seus próprios domínios e registrando-as preventivamente. Bancos brasileiros como Itaú e Santander mantêm programas de brand protection que incluem monitoramento contínuo de registros suspeitos, usando ferramentas similares ao EvilURL para preencher lista de ameaças conhecidas.

No lado ofensivo, o uso de IDN homograph attacks é documentado desde 2005. Em 2017, pesquisadores da Wordfence identificaram campanha massiva de phishing que usou domínio homográfico para imitar a Blockchain.info, carteira de criptomoedas, e roubar credenciais de milhares de usuários. Em 2019, a Cisco Talos documentou ataque que utilizou variação homográfica de microsoft.com para distribuir malware Banking Trojan via documentos Office maliciosos.

No Brasil, o CERT.br registrou em 2023 aumento de 47% em denúncias de phishing envolvendo domínios homográficos, sobretudo contra instituições financeiras. Casos envolvem URLs como caixa-gov-br.com (com ‘a’ cirílico) que enganaram centenas de usuários em campanhas via SMS e WhatsApp.

Relevância no cenário de ameaças

Ameaças baseadas em IDN homograph persistem apesar de duas décadas de tentativas de mitigação. Navegadores como Chrome, Firefox e Safari implementaram políticas de exibição Punycode para domínios que misturam caracteres de diferentes alfabetos, mas a eficácia é limitada: domínios compostos inteiramente por caracteres de um único alfabeto não-latino ainda são exibidos em forma legível, criando brecha explorável.

Em 2022, o pesquisador russo Dmitry Janushkevich publicou demonstração de domínio homográfico que enganou inclusive navegadores atualizados, criando versão falsa de apple.com que exibia certificado TLS válido (emitido por Let’s Encrypt) e era indistinguível da original. A Apple respondeu em quatro dias, mas o caso evidenciou que o problema permanece sem solução definitiva.

O mercado de defesa desenvolveu soluções especializadas em detecção de homographs, incluindo DomainTools Iris, Lookalike Domain Detection da Mimecast e PhishEye da Bolster. Essas ferramentas monitoram registros de novos domínios em tempo real e comparam visualmente com marcas conhecidas usando algoritmos de similaridade. Em 2023, a Interpol coordenou operação que removeu mais de 4 mil domínios fraudulentos, boa parte registrada usando técnicas de homograph, como parte da campanha anual против фишинга.

A ICANN, entidade responsável pela coordenação global de nomes de domínio, debater desde 2007 políticas para limitar o registro de domínios homográficos, mas não chegou a consenso regulatório. Enquanto isso, os ataques continuam a evoluir com técnicas combinadas: homograph + typosquatting + homoglyph de extensões de domínio.

Considerações finais sobre EvilURL

O EvilURL tornou acessível a qualquer pessoa uma técnica que antes exigia conhecimento técnico especializado em Unicode e registros DNS. Para entender como proteger domínios corporativos, consulte a categoria de ferramentas de cibersegurança deste portal e a reportagem sobre phishing avançado com Evilginx. O código-fonte está disponível no GitHub.