Criminosos teriam comprometido servidor estadual e simulado portal governamental para distribuir arquivo que rouba dados

Domínios gov.br – A ZenoX divulgou nesta semana um relatório que detalha uma campanha de malware baseada na exploração de endereços associados ao domínio gov.br. Segundo a empresa, criminosos comprometeram infraestruturas públicas e também criaram URLs que imitam portais governamentais para distribuir um infostealer capaz de roubar credenciais, interceptar sessões bancárias e manter acesso remoto às máquinas infectadas.

O primeiro vetor identificado envolveu um subdomínio legítimo do Governo de Goiás. Pesquisadores apontam que o servidor foi comprometido e passou a hospedar, em seu diretório de downloads, um arquivo malicioso chamado “Certificado_PCAP.exe”. Por se tratar de um endereço com certificado SSL válido e reputação consolidada, o domínio integrava listas de confiança de ferramentas de segurança, o que reduziu as chances de bloqueio automático e reforçou a percepção de legitimidade para as vítimas.

LEIA: Funcionários da Uber podem ‘ensaiar’ reuniões com CEO com clone virtual da IA

Já o segundo método não exigiu invasão de infraestrutura oficial. Os atacantes utilizaram um endereço IP próprio e estruturaram a URL para simular um subdomínio do Governo do Amapá. A técnica explora a leitura rápida do usuário e cria a impressão de que o link pertence a um portal público, embora não haja qualquer domínio governamental registrado ali.

Em ambos os casos, o resultado era o download do executável malicioso. Desenvolvido em Delphi e empacotado com o Inno Setup – ferramenta legítima de criação de instaladores – o arquivo se apresentava como um programa comum para Windows. A partir da execução, iniciava-se uma cadeia silenciosa de etapas que instalava um segundo componente no sistema da vítima.

Esse segundo executável, chamado “boost.exe”, era uma versão adulterada do aplicativo Boost Note. A interface permanecia funcional, mas, em paralelo, o malware operava de forma invisível. A técnica, conhecida como sideloading, permite injetar código malicioso em um software legítimo para aproveitar a confiança do usuário.

O programa alterado registrava entradas no sistema para ser executado automaticamente a cada inicialização do computador, mecanismo que garante persistência da infecção. Também configurava o navegador para operar em segundo plano, possivelmente com o objetivo de acessar credenciais armazenadas.

De acordo com a análise, o malware estabelecia comunicação periódica com servidores de Comando e Controle (C2), enviando identificadores da máquina infectada e recebendo instruções a cada dois minutos. O tráfego era feito via HTTPS, protocolo comum em sites seguros, e incluía configurações que permitiam aceitar certificados inválidos, padrão recorrente em infraestruturas criminosas.

A campanha também utilizava técnicas para camuflar o tráfego malicioso, misturando requisições com domínios de redes publicitárias legítimas. Essa estratégia, chamada de “ad-network blending”, dificulta a detecção por sistemas baseados em reputação.

A investigação identificou ainda bibliotecas do próprio Windows sendo utilizadas para acessar arquivos sensíveis, descriptografar senhas armazenadas, capturar teclas digitadas, registrar telas e interagir com clientes de e-mail. Em conjunto, esses recursos ampliam a capacidade de coleta de dados e permitem monitoramento ativo da vítima.

Um segundo servidor C2 hospedava scripts com funções mais avançadas, incluindo roubo de cookies de sessão e interceptação de comunicações em portais financeiros. Um dos códigos implementava técnica classificada como Man-in-the-Browser, replicando em tempo real as interações da vítima com determinadas plataformas, enquanto mantinha a aparência original da página.

Durante a apuração, a ZenoX conseguiu acessar o painel de controle utilizado pelos operadores, identificado como “Forever v1.0”, que exibia informações sobre máquinas infectadas, status de conexão e tarefas em execução. Isso indica que a operação combinava características de stealer com RAT (Remote Access Trojan), permitindo controle remoto contínuo.

Parte da infraestrutura foi associada a um provedor já citado em investigações relacionadas ao grupo conhecido como Plump Spider. Segundo o relatório, o padrão de abuso de domínios governamentais e a semelhança com campanhas anteriores apontam para possível ligação com o grupo, embora a atribuição não seja considerada conclusiva.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)