Novo relatório da empresa de cibersegurança ZenoX, do Grupo Dfense, identificou uma campanha de malware que utiliza domínios de governos brasileiros, legítimos e falsificados, para enganar usuários e roubar dados sensíveis. A investigação também aponta indícios de ligação com o grupo hacker Plump Spider, conhecido por operações de fraude digital direcionadas ao Brasil.
De acordo com o estudo, os operadores da campanha exploraram infraestruturas públicas confiáveis para hospedar ou redirecionar arquivos maliciosos. A estratégia aumenta as chances de sucesso dos ataques, já que domínios governamentais costumam ser considerados seguros por usuários e por diversas soluções de segurança digital.
Entre os casos analisados, os pesquisadores identificaram o uso de um subdomínio legítimo do governo de Goiás para distribuir um executável malicioso chamado “Certificado_PCAP.exe”, baixado automaticamente quando a vítima acessa determinados links. Os criminosos também criaram páginas falsas que simulam serviços públicos, incluindo URLs que imitam sites oficiais do governo do Amapá, apesar de estarem hospedadas em servidores controlados pelos próprios atacantes.
Segundo Gabriel Paiva, CEO do Grupo Dfense, o cenário reflete uma evolução nas operações de fraude digital. “Estamos vendo campanhas cada vez mais estruturadas, que combinam engenharia social, infraestrutura distribuída e malware especializado para roubo de credenciais. O Brasil permanece como um dos principais alvos dessas operações.”
Como funciona o ataque
Conforme o relatório, o ataque opera por meio de uma cadeia de infecção em múltiplas etapas. O processo começa geralmente com links maliciosos enviados por e-mail ou inseridos em páginas comprometidas, que redirecionam o usuário para um endereço aparentemente confiável.
Ao acessar esse endereço, o sistema da vítima inicia automaticamente o download de um arquivo executável. O arquivo contém um infostealer desenvolvido em Delphi, linguagem frequentemente utilizada na criação de trojans voltados ao roubo de dados financeiros.
Depois de instalado, o malware coleta credenciais armazenadas em navegadores, captura cookies de sessão e tokens de autenticação e acessa arquivos do sistema. Essas informações são então enviadas para servidores controlados pelos criminosos.
Para evitar detecção, os dados roubados podem ser transmitidos por meio de serviços legítimos da internet, utilizados como infraestrutura de comando e controle (C2). Em alguns casos analisados, o envio ocorreu por meio da plataforma Webhook.site, normalmente usada para testes de aplicações web.
Malware se disfarça de software legítimo
Os especialistas também identificaram o uso de sideloading em aplicações baseadas em Electron, técnica que permite executar código malicioso dentro de programas aparentemente legítimos. Em um dos casos analisados, o malware foi incorporado a uma aplicação que se apresentava como BoostNote, um software real de anotações colaborativas.
Enquanto a interface visível funcionava normalmente, o código malicioso operava em segundo plano coletando informações do sistema. O malware também estabelece comunicação periódica com servidores controlados pelos atacantes, aproximadamente a cada 120 segundos, para enviar dados roubados ou receber novas instruções.
Risco crescente exige defesa ativa
De acordo com o executivo, o aumento da sofisticação dessas campanhas exige que instituições públicas e privadas elevem seu nível de maturidade em segurança digital, especialmente diante de ataques que exploram infraestruturas consideradas confiáveis.
Entre as medidas recomendadas estão:
- autenticação multifator resistente a phishing (FIDO2 ou WebAuthn);
- soluções de detecção comportamental em endpoints (EDR);
- políticas de segurança de conteúdo para impedir a execução de scripts maliciosos;
- monitoramento contínuo de inteligência de ameaças.
