sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Férias de meio de ano fazem golpes financeiros crescer quase 200%
10 de julho de 2026
Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram
10 de julho de 2026
Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon
10 de julho de 2026
Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados
10 de julho de 2026
sexta-feira, julho 10, 2026
Top Posts
Férias de meio de ano fazem golpes financeiros...
Projeto de lei inspirado no Stop Killing Games...
Jogo inusitado se torna o mais vendido do...
Alerta de baixa umidade atinge o interior de...
Google Fotos lança recurso de remix que edita...
Mortes no trânsito caem 36% em Campinas em...
Colisão entre Honda Civic e motocicleta deixa motociclista...
Copa do Mundo tem confronto entre Espanha e...
JBL Flip Essential 3 SE é lançada no...
Stellantis usará sistema híbrido chinês em carros nacionais...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Férias de meio de ano fazem golpes financeiros crescer quase 200%
10 de julho de 2026
Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram
10 de julho de 2026
Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon
10 de julho de 2026
Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados
10 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Férias de meio de ano fazem golpes financeiros crescer quase 200%
10 de julho de 2026
Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram
10 de julho de 2026
Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon
10 de julho de 2026
Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados
10 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

O script criminoso do ‘Hacker Fantasma’ preso no Brasil

por SampaNews 25 de maio de 2026
25 de maio de 2026
23

O hacker “Fantasma” foi preso na Operação Intruder pela Polícia Civil de São Paulo e de Minas Gerais no começo de maio de 2026. Até o momento, foi divulgado apenas que seu nome seria Leonardo. Curiosamente, “Fantasma” não é a assinatura de seus delitos, modus operandi de cibercriminosos — “Fantasma” é como a própria polícia se referia ao ator.

Leonardo é chamado assim pela suposta ação criminosa em ambientes como a deep e dark web — camadas desindexadas da internet que podem ser utilizadas para venda e compra de dados fraudulentos, malwares e vulnerabilidades de sistemas. Tais ambientes dificultam a localização e identificação de usuários por conta de roteamento, criptografias, falta de IP, VPNs etc. Então, por isso, “Fantasma”.

smart_display

Nossos vídeos em destaque

A polícia afirma que Leonardo é um profissional de Tecnologia da Informação desde os anos 1990, que já trabalhou em bancos e redes digitais, especializado em explorar falhas de segurança em servidores, que desenvolvia malwares e praticava outros cibercrimes, entre eles, extração, compra e venda de dados pessoais, credenciais de acesso e informações sigilosas de órgãos e empresas.

Em última linha, a informação das autoridades indica que Leonardo não foi para o regime fechado, respondendo ao inquérito em liberdade —  com monitoramento eletrônico, recolhimento domiciliar noturno, retenção do passaporte, suspensão da CNH e proibição do uso de equipamentos com acesso à internet sem autorização judicial.

Uma das questões envolvendo o “fantasma” era, além do modus operandi, seu roteiro — o script, a sequência de comandos automatizados que ele utilizava para infectar sistemas. O TecMundo conversou com o analista de ciberinteligência Gabriel Alves, da empresa ZenoX, que encontrou a resposta.

O script (Fonte: Gabriel Alves/ZenoX)

O script do “Fantasma”

“O código analisado é um malware do tipo RAT, desenvolvido em Java, com capacidade de controle remoto da máquina infectada”, revela Gabriel.

Um malware RAT, se pudermos explicar claramente, é um vírus conhecido como Cavalo de Tróia de Acesso Remoto (Remote Access Trojan). Java é um tipo de linguagem de programação, como Python, C++ e outras.

Alves explica que o RAT, após a infecção, cria uma persistência no Windows copiando a si mesmo para uma pasta de inicialização automática com o nome “Java.jar”. A ação garante a execução automática do Trojan sempre que o computador é ligado.

“O malware se comunica periodicamente com um servidor de comando e controle (C2), que era identificado como ‘bbboab[.]com’. A cada ciclo que ele se conecta ao servidor, ele recebe comandos remotos, executa os comandos via ‘cmd.exe /c’ e envia o resultado de volta ao operador”, conta o analista. “Na prática, isso permite ao atacante executar comandos remotamente, roubar arquivos e informações, instalar outros malwares, movimentar-se na rede e implantar ransomware”.

Um C2 é um servidor remoto utilizado por criminosos para gerenciar e executar ações em sistemas infectados. Já o ransomware é um dos tipos de malware que atuam como um “sequestrador digital”, conseguindo criptografar arquivos e exigir uma chave de liberação — normalmente, mediante pagamento financeiro da vítima.

O analista Gabriel Alves também conta que o código do “Fantasma” possui estrutura de DGA (Domain Generation Algorithm), uma “técnica utilizada por malwares para gerar domínios dinamicamente com base em cálculos matemáticos e datas”.

A técnica foi um dos facilitadores do vulgo. O uso de DGA dificulta a detecção e o bloqueio porque os domínios mudam constantemente, os bloqueios DNS (Sistema de Nomes de Domínio, uma “agenda telefônica da internet”) tornam-se menos eficazes e a infraestrutura criminosa ganha uma resiliência maior.

“Esse tipo de técnica é amplamente utilizada por malwares modernos para evasão de defesas e manutenção da comunicação com os operadores mesmo após derrubadas de infraestrutura”, define Alves.

O analista também explica que, uma vez conectado com a vítima, pulsos de comunicação periódica a cada nove horas eram realizados pelo malware. Isso permitia que o script “fantasma” fugisse dos olhos de mecanismos de defesa presentes nos sistemas infectados.

O Java como escolha

Foi divulgado que o “Fantasma” supostamente atacou sistemas do governo paulista, da Prefeitura de São Paulo, da Controladoria Geral do Estado e da Polícia Civil. Tribunais de Justiça de Goiás e Tocantins também teriam sido afetados, ao lado da polícia militar goiana.

Apesar de alvos institucionais importantes, é preciso notar que, para um software sofisticado como este, não são alvos tão rentáveis. Quando perguntado sobre isso, o analista Gabriel Alves nota que a linguagem do script é Java.

“A escolha do Java não é à toa. Grande parte dos bancos atuais utiliza Java como linguagem de backend, bem como o framework Springboot e SpringSecurity”, revela Gabriel e adiciona que, sim, grandes bancos e empresas também foram vítimas do “Fantasma” — “Ligado com o Aut-bank, pelo menos cinco dos maiores bancos do país foram afetados”.

Apesar da afirmação, por conta da investigação policial, mais detalhes sobre as vítimas ainda não foram revelados. O malware era distribuído como atualização Java, então tinha como alvo primordial desenvolvedores que trabalham em bancos e empresas grandes.

“Uma informação que também não foi divulgada é que, uma vez dentro do sistema, eles analisavam todos os e-mails e padrões de escrita com inteligência artificial, onde, novamente, repetiam o processo voltado apenas para o fluxo financeiro da empresa. Uma vez com as datas de pagamento, padrão de mensagem e funcionários do setor, eles falsificavam estes e-mails, bloqueando o remetente original e fazendo phishings internos”.

Phishings são mensagens falsas com links fraudulentos. Ou seja, o “Fantasma” conseguia mimetizar a própria empresa infectada, com estrutura, domínios e linguagem, para infectar outros funcionários simulando um suporte de TI.

tecmundo_script_fantasma2.jpg
Estrutura (Fonte: Gabriel Alves (Zenox)

Investimento no crime

A polícia descobriu que o “Fantasma” mantinha um data center (centro de dados) em Belo Horizonte (MG) capaz de armazenar grandes volumes de informações roubadas. Isso significa que o suspeito contava não apenas com um malware sofisticado, mas também com uma infraestrutura física de alto calibre para lidar com seu trabalho.

Resumindo, ele invadia sistemas, mantinha persistência por meses e vendia os acessos prontos para grupos cibercriminosos. No mundo da cibersegurança, atores com esse modus operandi são classificados como agentes de acesso inicial (IABs).

IABs começam com funcionários desvirtuados que recebem quantias menores para a liberação de acesso. No caso, com data center próprio e script único para malware, o “Fantasma” é enquadrado em uma categoria muito sofisticada para se limitar a sistemas governamentais.

Como se proteger

Empresas e funcionários podem se proteger de malwares e IABs de diversas maneiras. Vamos listar algumas delas:

  • Mantenha sistemas operacionais, aplicativos, navegadores, VPNs e dispositivos de rede sempre com os patches de segurança mais recentes;
  • Exija MFA em todos os acessos: autenticação multifator para contas de usuário, VPN, e-mail, portais administrativos e serviços na nuvem;
  • Treine os colaboradores regularmente: simulações de phishing e conscientização sobre engenharia social, malvertising e downloads suspeitos;
  • Feche portas desnecessárias na internet: nunca exponha RDP, SSH ou serviços diretamente; use VPN com MFA;
  • Princípio do menor privilégio: dê acesso apenas ao necessário e segmente a rede (microsegmentação);
  • Monitore a dark web: busque credenciais vazadas da empresa com threat intelligence;
  • Realize pentests e varreduras trimestrais: identifique e corrija vulnerabilidades continuamente;
  • Tenha um plano de resposta a incidentes testado: IRP pronto para agir rápido em caso de ataque;
  • Verificar sempre a diferença entre domínios comparando com o prestador original do software em questão, além de sempre confirmar internamente supostas manutenções, acessos ou contatos com o setor de TI e manutenção;
  • Bloquear internamente qualquer range de IP provenientes de infraestruturas já conhecidas por exploração criminosa na internet, bem como domínios com entropia anormal, ex: lzfaorf[.]com ou mmimkqe[.]com

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
UE deve multar Google em centenas de milhões de euros, diz jornal alemão
próxima postagem
ZoomHolding começou numa papelaria e hoje mira faturamento de R$ 1 bilhão

Você também pode gostar

Férias de meio de ano fazem golpes financeiros...

10 de julho de 2026

Projeto de lei inspirado no Stop Killing Games...

10 de julho de 2026

Jogo inusitado se torna o mais vendido do...

10 de julho de 2026

Google Fotos lança recurso de remix que edita...

10 de julho de 2026

POSTS MAIS RECENTES

  • Férias de meio de ano fazem golpes financeiros crescer quase 200%
  • Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram
  • Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon
  • Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados
  • Google Fotos lança recurso de remix que edita seus vídeos com IA

Siga-nos

  • Recente
  • Popular
  • Férias de meio de ano fazem golpes financeiros crescer quase 200%

    10 de julho de 2026
  • Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram

    10 de julho de 2026
  • Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon

    10 de julho de 2026
  • Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados

    10 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Mortes no trânsito caem 36% em Campinas em...

10 de julho de 2026

Colisão entre Honda Civic e motocicleta deixa motociclista...

10 de julho de 2026

Copa do Mundo tem confronto entre Espanha e...

10 de julho de 2026

JBL Flip Essential 3 SE é lançada no...

10 de julho de 2026

Stellantis usará sistema híbrido chinês em carros nacionais...

10 de julho de 2026

Leitura obrigatória

  • Férias de meio de ano fazem golpes financeiros crescer quase 200%

    10 de julho de 2026
  • Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram

    10 de julho de 2026
  • Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon

    10 de julho de 2026
  • Alerta de baixa umidade atinge o interior de SP no feriado prolongado; veja a previsão e os cuidados

    10 de julho de 2026
  • Google Fotos lança recurso de remix que edita seus vídeos com IA

    10 de julho de 2026

Newsletter

Posts relacionados

  • Férias de meio de ano fazem golpes financeiros crescer quase 200%

    10 de julho de 2026
  • Projeto de lei inspirado no Stop Killing Games é apresentado no Brasil para evitar que jogos morram

    10 de julho de 2026
  • Jogo inusitado se torna o mais vendido do ano! Conheça Meccha Chameleon

    10 de julho de 2026
  • Google Fotos lança recurso de remix que edita seus vídeos com IA

    10 de julho de 2026
  • JBL Flip Essential 3 SE é lançada no Brasil com bateria para 12 horas

    10 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Bragança Shopping promove Pocket Show de Toy Story neste sábado
3 de junho de 2026
Crise de hardware e GTA 6 podem causar escassez de consoles no Natal
27 de junho de 2026
Musk é considerado responsável em processo sobre fraude em compra do Twitter
21 de março de 2026

Categorias Populares

  • Tecnologia (6.054)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.098)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.129)
  • Bragança Paulista (1.106)
  • Esporte (801)
  • Saúde (496)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home