){kind=link}
Um relatório de inteligência de ameaça da ZenoX, divulgado nesta semana, revelou que criminosos estão sequestrando domínios .gov legítimos para conduzir campanhas de phishing e contornar as defesas mais comuns.
O primeiro vetor identificado na investigação está ligado a um subdomínio real do Governo do Estado de Goiás. O segundo, a um endereço IP que simula um portal do Governo do Estado do Amapá.
smart_display
Nossos vídeos em destaque
O TecMundo entrou em contato com o governo de Goiás para comentar os detalhes do caso e entender o posicionamento. A matéria será atualizada após recebermos uma resposta.
Os dois vetores formam a porta de entrada para uma infecção que não se encerra com um vírus simples. Termina com os atacantes dentro da máquina da vítima, lendo senhas, interceptando sessões bancárias em tempo real e recebendo novas instruções do servidor criminoso a cada dois minutos.
Governo de Goiás como infraestrutura involuntária
O primeiro endereço identificado pelos pesquisadores é cmdca.go.gov.br, o portal oficial do Conselho Municipal dos Direitos da Criança e do Adolescente do Estado de Goiás. Uma entidade pública com certificado SSL válido, histórico de reputação consolidado e classificação segura em praticamente todas as ferramentas de defesa disponíveis.
Os operadores da campanha comprometeram esse servidor e utilizaram o diretório de downloads do portal para hospedar o executável malicioso: um arquivo distribuído sob o nome Certificado_PCAP.exe.
A escolha não foi arbitrária. URLs terminadas em .gov.br integram as listas brancas de antivírus e firewalls corporativos, os mecanismos que informam ao software de defesa que determinado endereço é confiável e dispensa inspeção aprofundada.
A ausência de alertas reforça, por sua vez, a percepção de segurança da vítima. O resultado é uma falsa sensação dupla de proteção, o usuário confia e o sistema de defesa também.
Falsificação sem domínio registrado
O segundo vetor opera por uma lógica distinta. Sem necessidade de comprometer nenhuma infraestrutura legítima, os atacantes registraram um servidor próprio, o IP 79.110.49.32, e construíram o caminho da URL para simular um subdomínio governamental, o 79.110.49.32/.certificados.ap.gov.br.
A leitura superficial do endereço remete a um portal de certificados do Governo do Amapá, um tipo de serviço amplamente reconhecido pela população. Não há, entretanto, nenhum domínio registrado ali.
O que existe é uma estrutura de URL projetada para explorar a leitura rápida da vítima, técnica conhecida como typosquatting ou domain spoofing.
A combinação dos dois métodos revela uma compreensão apurada das fragilidades sistêmicas da segurança atual. Um vetor explora a confiança institucional de uma infraestrutura governamental comprometida, o outro, a psicologia de quem está na frente da tela.
Arquivo que se apresenta como certificado
Independentemente de qual dos dois caminhos a vítima acessou, o resultado é o mesmo: o download automático do Certificado_PCAP.exe, um executável para Windows que pode ser iniciado diretamente na máquina da vítima.
A análise técnica da ZenoX identificou que o arquivo foi escrito em Delphi, linguagem com histórico extenso entre grupos criminosos brasileiros na produção de trojans bancários e stealers, tipos de malwares especializados no roubo de credenciais, cookies de sessão e tokens de autenticação.
Para empacotar o conteúdo malicioso, os operadores utilizaram o Inno Setup, uma ferramenta legítima de criação de instaladores para Windows, conferindo ao arquivo a aparência de um programa comum.
Cadeia de sete etapas invisível
A execução do arquivo pela vítima desencadeia uma cadeia de sete etapas inteiramente silenciosa.
Em um primeiro momento, o instalador deposita no sistema uma pasta em C:\Users\[usuario]\AppData\Local\ProSoftionTechMax, contendo um segundo executável: o boost.exe.
O nome da pasta foi escolhido para soar como um produto comercial legítimo; o boost.exe remete ao Boost Note, um aplicativo real de desenvolvimento colaborativo de notas.
O boost.exe é, na prática, uma cópia trojanizada do Boost Note original, o programa legítimo foi modificado para carregar código malicioso em paralelo à sua funcionalidade real. A vítima interage com a interface normal do aplicativo enquanto o malware opera em segundo plano, inteiramente invisível.
A técnica é chamada sideloading, que consiste em injetar código malicioso dentro de um aplicativo legítimo para se beneficiar da confiança que o usuário deposita nele.
A escolha do Boost Note também tem fundamento técnico. O aplicativo é construído sobre o framework Electron, tecnologia que permite criar programas desktop em JavaScript, a mesma linguagem do código malicioso.
Isso permite que ele execute nativamente dentro do Electron sem acionar mecanismos de detecção.
Malware que reinicia com o sistema
O boost.exe registra entradas no Registro do Windows, especificamente na chave HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, a lista consultada pelo sistema operacional a cada inicialização para determinar quais programas devem ser carregados automaticamente.
A cada vez que a vítima liga o computador, o malware é reiniciado junto. Esse mecanismo, denominado persistência, é o que distingue uma infecção pontual de uma operação estruturada e contínua.
O malware também configura o Microsoft Edge para iniciar em segundo plano sem janela visível, recurso que provavelmente serve à extração de credenciais armazenadas no navegador.
Servidor recebe instruções a cada dois minutos
Dentro da pasta do aplicativo trojanizado, o arquivo index.js funciona como o núcleo operacional da campanha.
O código contém um endereço fixo para o servidor de Comando e Controle (C2) dos atacantes: kapa.is/f/e/. O C2 é o servidor remoto a partir do qual os criminosos enviam instruções ao malware e recebem de volta os dados coletados.
Ao ser iniciado, o malware realiza um beacon, processo no qual ele estabelece o primeiro contato com o C2 transmitindo um identificador único gerado aleatoriamente para aquela máquina, o nome do computador e o nome do usuário ativo.
A partir desse ponto, a cada 120 segundos, o malware consulta o servidor em busca de novas instruções, que podem incluir desde o download de novos payloads até a coleta adicional de dados do sistema.
Para não despertar suspeitas em ferramentas de monitoramento de rede, o tráfego é encapsulado em HTTPS, o mesmo protocolo utilizado por qualquer site seguro.
Uma configuração adicional no código (rejectUnauthorized: false) permite que o malware aceite certificados SSL inválidos ou autoassinados, padrão comum em infraestruturas C2 criminosas.
A campanha adiciona ainda uma camada extra de camuflagem: durante a análise de rede, foram identificadas consultas DNS geradas programaticamente para domínios de redes publicitárias legítimas, como stackadapt.com, pubmatic.com e mrtnsvr.com.
A técnica, conhecida como ad-network blending, dilui o tráfego malicioso em meio a requisições que aparentam navegação orgânica, dificultando a detecção por ferramentas baseadas em reputação de domínio.
Bibliotecas que operacionalizam o roubo
A análise estática do artefato mapeou as bibliotecas nativas do Windows importadas pelo malware, cada uma responsável por uma etapa específica da coleta.
A kernel32.dll concede acesso ao sistema de arquivos para leitura de senhas, cookies e tokens armazenados em %APPDATA% e %LOCALAPPDATA%, diretórios utilizados por navegadores para guardar credenciais.
A advapi32.dll abre caminho para a DPAPI, o mecanismo que Chrome e Edge utilizam para criptografar senhas salvas localmente, permitindo que o malware as descriptografe e leia em texto puro.
A user32.dll viabiliza a instalação de hooks de teclado para keylogging, a captura de screenshots e o monitoramento de janelas ativas, o que permite identificar o acesso a portais bancários em tempo real.
A oleaut32.dll completa o conjunto ao permitir interação com clientes de e-mail como o Outlook via automação COM/OLE. A comctl32.dll, quinta biblioteca identificada, permite a renderização de interfaces gráficas, provavelmente utilizada para exibir janelas falsas ou prompts fraudulentos com o objetivo de induzir a vítima a fornecer informações adicionais.
Juntas, as cinco bibliotecas configuram um arsenal de coleta em camada. O malware acessa credenciais armazenadas, descriptografa o que estava protegido, monitora ativamente o comportamento da vítima, ancora o comprometimento nos aplicativos de comunicação e disfarça o golpe. Cada biblioteca cobre uma frente distinta.
Segundo C2 e interceptação bancária
Os investigadores identificaram um segundo servidor C2 em kak.is, hospedando dois scripts JavaScript com capacidades mais avançadas.
O primeiro, pipiteimosa.extension.js, opera como um web stealer: ao ser carregado no navegador da vítima, transmite imediatamente aos atacantes a URL em acesso e todos os cookies de sessão ativos.
Cookies de sessão são os arquivos que mantêm o usuário autenticado em plataformas sem necessidade de nova inserção de credenciais. Em posse deles, os criminosos conseguem se fazer passar pela vítima em qualquer serviço sem precisar da senha.
O segundo script, te_3_la.js, implementa um ataque classificado como Man-in-the-Browser (MitB), direcionado especificamente ao portal administrativo da Credifit, uma atartup financeira de crédito.
O script substitui as funções nativas do navegador responsáveis por requisições web, de modo que toda comunicação entre o browser da vítima e o backend da Credifit é silenciosamente replicada para o servidor dos atacantes em tempo real, incluindo credenciais, tokens e dados sensíveis.
O mesmo mecanismo se estende à Inovanti, empresa do setor financeiro cujo endpoint de onboarding, processo automatizado projetado para integrar novos clientes, usuários ou colaboradores, também é interceptado pelo script.
Paralelamente, o script substitui o HTML da página por uma réplica do portal original, mantendo a aparência legítima da interface para a vítima enquanto todas as interações são monitoradas.
O script também continha credenciais fixas no código de um usuário administrador, indicativo de que o ambiente já havia sido comprometido anteriormente.
O painel que a ZenoX acessou
Durante a investigação, os pesquisadores da ZenoX conseguiram acessar o painel de controle dos atacantes em kapa.is/f/. A interface, identificada como “Forever v1.0”, exibe colunas para o gerenciamento centralizado de cada máquina infectada, entre elas contém identidade, endereço IP, status de conexão, último contato registrado e tarefa em execução.
Isso confirma que o malware opera como um RAT (Remote Access Trojan) combinado com stealer, não apenas extrai informações, mas mantém os operadores com acesso remoto contínuo sobre cada vítima ativa.
Os assets do painel foram gerados em 24 de janeiro de 2026, semanas antes do início identificado da campanha, evidenciando um período deliberado de preparação e testes.
Como parte da infraestrutura de exfiltração, os atacantes também utilizaram o Webhook.site, serviço legítimo de recebimento e inspeção de requisições HTTP. Por ser um serviço reconhecido, raramente é bloqueado por firewalls corporativos, uma característica que os operadores exploraram intencionalmente.
A técnica se chama Living off Trusted Services, que consiste no uso de plataformas confiáveis para fins maliciosos, precisamente porque elas já transitam pelos filtros de segurança sem restrições.
)
anterior do Plump Spider (Fonte: ZenoX)
Possível atribuição ao Plump Spider
O mapeamento da infraestrutura revelou que parte dos servidores utilizados na campanha está hospedada no Master da Web Datacenter, provedor brasileiro cuja infraestrutura havia sido identificada anteriormente em operações atribuídas ao Plump Spider, grupo com histórico documentado de fraudes financeiras direcionadas ao mercado brasileiro.
O padrão de atuação do Plump Spider é precisamente o observado nesta campanha, incluido o abuso sistemático de domínios governamentais ou a construção de domínios que imitam portais .gov.br.
Os e-mails de phishing foram enviados a partir de domínios construídos para imitar comunicações legítimas do Microsoft Teams, svc.ms-acdc-teams.office.com e svc.ha-teams.office.com.
A recorrência dessa metodologia ao longo do tempo indica uma preferência deliberada dos operadores, possivelmente em razão das baixas taxas de detecção associadas a endereços com aparência institucional.
A investigação também identificou familiaridade de infraestrutura com o HijackLoader, loader já documentado em campanhas anteriores, reforçando a hipótese de continuidade operacional. O relatório classifica a atribuição como possível, não confirmada mas os indicadores convergem para o mesmo grupo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.