Atenção, galera! Criminosos ciberneticos estao usando dominios oficiais do governo brasileiro para espalhar um malware perigoso que rouba senhas, intercepta operacoes bancarias e assume o controle total do seu computador. Uma investigacao recente da ZenoX expôs essa tatica sofisticada, possivelmente ligada ao grupo Plump Spider, um time brasileiro focado em golpes financeiros contra bancos e empresas de servicos financeiros.
Tudo comeca com dois vetores de ataque astutos. O primeiro e um subdominio real do governo de Goias, cmdca.go.gov.br, portal legitimo do Conselho Municipal dos Direitos da Crianca e do Adolescente, com certificado SSL valido e reputacao impecavel. Os hackers comprometeram o servidor e colocaram um arquivo malicioso no diretorio de downloads: Certificado_PCAP.exe. Como e um endereco .gov.br, ele passa batido por antivirus e firewalls, que o veem como confiavel. Voce baixa achando que e seguro, e pronto, infectado.
O segundo truque e ainda mais esperto: um IP falso, 79.110.49.32, montado para parecer um portal de certificados do governo do Amapa, tipo 79.110.49.32/.certificados.ap.gov.br. Nao ha dominio registrado de verdade, mas a aparencia engana na leitura rapida, uma tecnica chamada typosquatting ou domain spoofing, explorando sua pressa e confianca em sites publicos.
Ao baixar o arquivo, que parece um instalador comum feito em Delphi com Inno Setup, uma cadeia de sete etapas roda em silencio. Ele cria uma pasta em C:\Users\[seuusuario]\AppData\Local\ProSoftionTechMax com o boost.exe, uma versao trojanizada do Boost Note, app legitimo de notas. Voce usa o programa normal, mas no fundo ele injeta codigo malicioso via sideloading, roubando credenciais, cookies de sessao bancaria e tokens. Alem disso, conecta ao servidor dos bandidos a cada dois minutos para novas instrucoes, permitindo controle remoto total. Sao infostealers como Vidar, Qbot, Formbook e Remcos, que lideram rankings de ameaças no Brasil, com impacto recorde de ate 19% nas empresas, segundo relatorios da Check Point.
O Plump Spider, monitorado pela CrowdStrike desde 2023, adora isso: usa dominios governamentais para ganhar confianca, faz vishing com dados vazados como CPF e nome, e mira acessos a sistemas Pix para fraudar assinaturas digitais em XML pacs.008, transferindo valores instantaneamente. No Brasil, infostealers explodiram 55% em 2023, com vazamentos gigantes expondo bilhoes de senhas, facilitando invasoes a VPNs e ate ao SUS.
Proteja-se agora: nunca baixe arquivos de emails ou sites suspeitos, mesmo que parecam oficiais. Use antivirus atualizado, ative autenticacao em dois fatores em tudo, verifique URLs com cuidado e evite clicar em links de ligacoes ou mensagens que pedem dados. Se receber algo do governo, acesse direto pelo site oficial. Fique esperto, compartilhe e nao caia nessa!
