Pesquisadores de segurança descobriram uma nova campanha cibernética em que criminosos sequestram domínios com terminação .gov.br, inclusive um portal legítimo do Conselho Municipal dos Direitos da Criança e do Adolescente de Goiás, para distribuir um malware capaz de roubar credenciais e manter controle remoto sobre máquinas afetadas.
O ataque começa com o usuário sendo induzido a baixar um arquivo malicioso disfarçado de certificado oficial, aproveitando a confiança depositada em endereços governamentais com certificados SSL válidos – normalmente considerados seguros por antivírus e firewalls corporativos. Em outro vetor, os golpistas criaram uma URL falsa que simula um subdomínio do Governo do Amapá para enganar as vítimas e fazer com que elas baixem o executável sem suspeitar de nada.
Após a execução do arquivo, o malware instala-se silenciosamente e cria mecanismos de persistência, garantindo que seja iniciado sempre que o Windows é ligado. Ele se comunica periodicamente com um servidor de comando para receber instruções, podendo extrair senhas, interceptar sessões bancárias em tempo real e manter acesso remoto contínuo ao sistema comprometido.
Especialistas observam que esse tipo de ataque explora tanto a confiança institucional nos domínios governamentais quanto técnicas avançadas de engenharia social, o que dificulta a detecção e aumenta o risco para usuários e empresas. A investigação levantou indícios de possível envolvimento do grupo cibercriminoso conhecido como Plump Spider, já associado a fraudes financeiras no Brasil.
Fonte: TecMundo