Criminosos usam falsos links de sites do governo para espalhar vírus

São Paulo - Um relatório da empresa de cibersegurança ZenoX, do Grupo Dfense, identificou uma campanha de vírus que utiliza domínios – os links de sites – de governos brasileiros, legítimos e falsificados, para enganar usuários e roubar dados sensíveis.

A investigação também aponta indícios de ligação com o grupo criminoso Plump Spider, conhecido por operações de fraude digital direcionadas ao Brasil.

Leia também: Hacker x cracker: o trabalho ético dos invasores de sistemas

Entre os casos analisados, está uso de um domínio legítimo do governo de Goiás para distribuir um arquivo malicioso chamado “Certificado_PCAP.exe”, baixado automaticamente quando a vítima acessa determinados links.

Os criminosos também criaram páginas falsas que simulam serviços públicos, por exemplo, imitando sites oficiais do governo do Amapá, apesar de estarem hospedadas em servidores controlados pelos próprios atacantes.

Segundo o CEO do Grupo Dfense, Gabriel Paiva, o cenário reflete uma evolução nas operações de fraude digital.

Estamos vendo campanhas cada vez mais estruturadas, que combinam engenharia social, infraestrutura distribuída e malware especializado para roubo de credenciais. O Brasil permanece como um dos principais alvos dessas operações.”

Como funciona o ataque

O processo começa geralmente com links maliciosos enviados por e-mail ou inseridos em páginas da web com baixa segurança, que redirecionam o usuário para um endereço aparentemente confiável. Ao acessar esse endereço, o computador da vítima baixa automáticamente um arquivo executável – que pode ser identificado pelo final ".exe". 

Leia também: Black Friday: 5 dicas para não cair em golpes de site fake feito por IA

Depois de instalado, o vírus coleta senhas armazenada nos navegadores, códigos de sites e acessa arquivos do sistema. Essas informações são então enviadas para servidores controlados pelos criminosos.

Para dificuldar o rastreio, os dados roubados são transmitidos por meio de serviços legítimos da internet. Alguns dos casos envolveram a  plataforma Webhook.site, normalmente usada para testes de aplicações web.

Falsificação do BoostNote

Os especialistas também identificaram o uso do vírus através do BoostNote, uma ferramenta real de anotações, similar ao word. Por meio dos links falsos, o usuário chegava a um site que instalava o aplicativo real juntamente do vírus. 

Enquanto o aplicativo funcionava normalmente, o código malicioso operava em segundo plano, oculto, coletando informações do sistema. O vírus também estabelece comunicação com os servidores controlados pelos atacantes, aproximadamente a cada 120 segundos, para enviar dados roubados ou receber novas instruções.

Estagiário sob supervisão de Marcia Furlan