Notícia

Criminosos utilizam domínios gov.br para distribuir vírus espião no Brasil

Imprensa Assufrgs

O Governo foi contatado após uma investigação da empresa de inteligência de ameaças ZenoX revelar que operadores cibernéticos, com possível ligação ao grupo criminoso Plump Spider, estão explorando domínios públicos para distribuir um vírus do tipo infostealer. O objetivo é roubar credenciais, interceptar sessões bancárias e manter o controle remoto dos computadores das vítimas.

Para o público geral, é importante entender o que isso significa: Infostealers são softwares espiões maliciosos (conhecidos como spywares) cuja principal função é roubar informações pessoais e confidenciais do dispositivo da vítima de forma invisível. Essas informações geralmente incluem dados bancários, cookies de navegação ou detalhes de login para contas online.

Como a tática funciona

Os criminosos adotaram duas estratégias principais para passar despercebidos tanto pelos usuários quanto pelos programas de antivírus:

  1. Uso de sites reais comprometidos: Os invasores conseguiram acessar uma página verdadeira do Governo do Estado de Goiás (o portal do Conselho Municipal dos Direitos da Criança e do Adolescente) e colocaram o arquivo malicioso escondido na área de downloads do site. Como os endereços terminados em “.gov.br” são naturalmente considerados seguros pelos computadores e firewalls, o vírus não dispara os alertas de segurança habituais.
  2. Criação de endereços falsos: Em outra frente, eles criaram um link falso, mas que visualmente se parece muito com um portal de certificados do Governo do Amapá. Essa técnica explora a leitura rápida da vítima, que acredita estar acessando um site governamental oficial.

A infecção no computador

Independentemente do método que engana o usuário, o resultado é o download de um arquivo disfarçado com o nome “Certificado_PCAP.exe”.

Ao abrir esse arquivo, a vítima não percebe nada de errado, pois a instalação do vírus ocorre de forma totalmente silenciosa em segundo plano. Para despistar ainda mais, o código malicioso se “esconde” dentro da estrutura de um aplicativo de anotações legítimo.

Uma vez instalado e configurado para iniciar sempre que o computador for ligado, o vírus começa a trabalhar. Ele descriptografa e lê senhas salvas nos navegadores, monitora a digitação, captura a tela e consegue até mesmo interceptar o acesso a portais de bancos e empresas financeiras em tempo real. Com isso, os invasores conseguem clonar a sessão do usuário e realizar ações sem precisar da senha da vítima.

A empresa ZenoX conseguiu identificar que a estrutura usada pelos criminosos é bastante similar a ataques anteriores do grupo Plump Spider, que tem um histórico focado em fraudes financeiras no mercado brasileiro. O governo de Goiás já foi contatado para que as devidas providências em sua infraestrutura sejam tomadas.

Dicas de segurança

Apesar da brecha na segurança ter sido identificada através de sites dos estados de Goias e Amapá, não se sabe se a situação não está ocorrendo em outras localidades. A dica é evitar clicar em sites desconhecidos, dando preferência para logar no sistema Sou.gov apenas no aplicativo oficial e na página oficial do governo federal.

Siga também as seguintes recomendações:

  • não forneça a senha a terceiros nem a salve em smartphones ou computadores;
  • habilite para sua conta GOV BR a funcionalidade “verificação em duas etapas”, que adiciona uma camada a mais de segurança em sua conta GOV BR, pois para realizar o login será preciso também confirmar o código gerado no aplicativo de celular GOV BR do titular da conta;
  • verifique se houve alteração no endereço de e-mail e/ou telefone cadastrados no portal GOV.BR e no aplicativo SOUGOV, com substituição por dados que não são os seus.

Fontes: TecMundo e SINAIT