{"id":15692,"date":"2026-02-25T15:18:43","date_gmt":"2026-02-25T18:18:43","guid":{"rendered":"https:\/\/fenati.org.br\/?p=15692"},"modified":"2026-02-25T16:58:33","modified_gmt":"2026-02-25T19:58:33","slug":"campanha-espalhar-malware-explora-dominios-gov-br","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/campanha-espalhar-malware-explora-dominios-gov-br\/","title":{"rendered":"Campanha para espalhar malware explora dom\u00ednios gov.br"},"content":{"rendered":"<p><strong>Dom\u00ednios gov.br &#8211;<\/strong> A ZenoX divulgou nesta semana um relat\u00f3rio que detalha uma campanha de malware baseada na explora\u00e7\u00e3o de endere\u00e7os associados ao dom\u00ednio gov.br. Segundo a empresa, criminosos comprometeram infraestruturas p\u00fablicas e tamb\u00e9m criaram URLs que imitam portais governamentais para distribuir um infostealer capaz de roubar credenciais, interceptar sess\u00f5es banc\u00e1rias e manter acesso remoto \u00e0s m\u00e1quinas infectadas.<\/p>\n<p>O primeiro vetor identificado envolveu um subdom\u00ednio leg\u00edtimo do Governo de <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Goi%C3%A1s\" target=\"_blank\" rel=\"noopener nofollow\">Goi\u00e1s<\/a>. Pesquisadores apontam que o servidor foi comprometido e passou a hospedar, em seu diret\u00f3rio de downloads, um arquivo malicioso chamado \u201cCertificado_PCAP.exe\u201d. Por se tratar de um endere\u00e7o com certificado SSL v\u00e1lido e reputa\u00e7\u00e3o consolidada, o dom\u00ednio integrava listas de confian\u00e7a de ferramentas de seguran\u00e7a, o que reduziu as chances de bloqueio autom\u00e1tico e refor\u00e7ou a percep\u00e7\u00e3o de legitimidade para as v\u00edtimas.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/funcionarios-uber-reunioes-ceo-clone-virtual-da-ia\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Funcion\u00e1rios da Uber podem \u2018ensaiar\u2019 reuni\u00f5es com CEO com clone virtual da IA<\/strong><\/a><\/p>\n<p>J\u00e1 o segundo m\u00e9todo n\u00e3o exigiu invas\u00e3o de infraestrutura oficial. Os atacantes utilizaram um endere\u00e7o IP pr\u00f3prio e estruturaram a URL para simular um subdom\u00ednio do Governo do Amap\u00e1. A t\u00e9cnica explora a leitura r\u00e1pida do usu\u00e1rio e cria a impress\u00e3o de que o link pertence a um portal p\u00fablico, embora n\u00e3o haja qualquer dom\u00ednio governamental registrado ali.<\/p>\n<p>Em ambos os casos, o resultado era o download do execut\u00e1vel malicioso. Desenvolvido em Delphi e empacotado com o Inno Setup \u2013 ferramenta leg\u00edtima de cria\u00e7\u00e3o de instaladores \u2013 o arquivo se apresentava como um programa comum para Windows. A partir da execu\u00e7\u00e3o, iniciava-se uma cadeia silenciosa de etapas que instalava um segundo componente no sistema da v\u00edtima.<\/p>\n<p>Esse segundo execut\u00e1vel, chamado \u201cboost.exe\u201d, era uma vers\u00e3o adulterada do aplicativo Boost Note. A interface permanecia funcional, mas, em paralelo, o malware operava de forma invis\u00edvel. A t\u00e9cnica, conhecida como sideloading, permite injetar c\u00f3digo malicioso em um software leg\u00edtimo para aproveitar a confian\u00e7a do usu\u00e1rio.<\/p>\n<p>O programa alterado registrava entradas no sistema para ser executado automaticamente a cada inicializa\u00e7\u00e3o do computador, mecanismo que garante persist\u00eancia da infec\u00e7\u00e3o. Tamb\u00e9m configurava o navegador para operar em segundo plano, possivelmente com o objetivo de acessar credenciais armazenadas.<\/p>\n<p>De acordo com a an\u00e1lise, o malware estabelecia comunica\u00e7\u00e3o peri\u00f3dica com servidores de Comando e Controle (C2), enviando identificadores da m\u00e1quina infectada e recebendo instru\u00e7\u00f5es a cada dois minutos. O tr\u00e1fego era feito via HTTPS, protocolo comum em sites seguros, e inclu\u00eda configura\u00e7\u00f5es que permitiam aceitar certificados inv\u00e1lidos, padr\u00e3o recorrente em infraestruturas criminosas.<\/p>\n<p>A campanha tamb\u00e9m utilizava t\u00e9cnicas para camuflar o tr\u00e1fego malicioso, misturando requisi\u00e7\u00f5es com dom\u00ednios de redes publicit\u00e1rias leg\u00edtimas. Essa estrat\u00e9gia, chamada de \u201cad-network blending\u201d, dificulta a detec\u00e7\u00e3o por sistemas baseados em reputa\u00e7\u00e3o.<\/p>\n<p>A investiga\u00e7\u00e3o identificou ainda bibliotecas do pr\u00f3prio Windows sendo utilizadas para acessar arquivos sens\u00edveis, descriptografar senhas armazenadas, capturar teclas digitadas, registrar telas e interagir com clientes de e-mail. Em conjunto, esses recursos ampliam a capacidade de coleta de dados e permitem monitoramento ativo da v\u00edtima.<\/p>\n<p>Um segundo servidor C2 hospedava scripts com fun\u00e7\u00f5es mais avan\u00e7adas, incluindo roubo de cookies de sess\u00e3o e intercepta\u00e7\u00e3o de comunica\u00e7\u00f5es em portais financeiros. Um dos c\u00f3digos implementava t\u00e9cnica classificada como Man-in-the-Browser, replicando em tempo real as intera\u00e7\u00f5es da v\u00edtima com determinadas plataformas, enquanto mantinha a apar\u00eancia original da p\u00e1gina.<\/p>\n<p>Durante a apura\u00e7\u00e3o, a ZenoX conseguiu acessar o painel de controle utilizado pelos operadores, identificado como \u201cForever v1.0\u201d, que exibia informa\u00e7\u00f5es sobre m\u00e1quinas infectadas, status de conex\u00e3o e tarefas em execu\u00e7\u00e3o. Isso indica que a opera\u00e7\u00e3o combinava caracter\u00edsticas de stealer com RAT (Remote Access Trojan), permitindo controle remoto cont\u00ednuo.<\/p>\n<p>Parte da infraestrutura foi associada a um provedor j\u00e1 citado em investiga\u00e7\u00f5es relacionadas ao grupo conhecido como Plump Spider. Segundo o relat\u00f3rio, o padr\u00e3o de abuso de dom\u00ednios governamentais e a semelhan\u00e7a com campanhas anteriores apontam para poss\u00edvel liga\u00e7\u00e3o com o grupo, embora a atribui\u00e7\u00e3o n\u00e3o seja considerada conclusiva.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Criminosos teriam comprometido servidor estadual e simulado portal governamental para distribuir arquivo que rouba dados<\/p>","protected":false},"author":6,"featured_media":15693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-15692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=15692"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15692\/revisions"}],"predecessor-version":[{"id":15694,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/15692\/revisions\/15694"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/15693"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=15692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=15692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=15692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}