Uma investigação recente conduzida pela empresa de inteligência em ameaças ZenoX revelou que criminosos estão explorando a credibilidade de domínios governamentais legítimos para disseminar um malware sofisticado. A campanha, que possui indícios de ligação com o grupo conhecido como Plump Spider, utiliza endereços oficiais com a terminação .gov.br para contornar sistemas de segurança e enganar cidadãos.
📲Quer receber notícias direto no celular? Entre no nosso grupo no WhatsApp.
O uso de infraestrutura pública confere aos atacantes uma vantagem estratégica considerável. Como esses endereços possuem certificados de segurança válidos e boa reputação em ferramentas de defesa, os arquivos maliciosos hospedados neles raramente são bloqueados por antivírus ou firewalls corporativos.
A exploração de domínios públicos e a tática de camuflagem
De acordo com o relatório da ZenoX, o primeiro vetor de ataque identificado envolveu o portal do Conselho Municipal dos Direitos da Criança e do Adolescente (CMDCA) de Goiás. Os operadores da campanha comprometeram o servidor oficial e inseriram um arquivo executável, chamado “Certificado_PCAP.exe”, no diretório de downloads do site.
Além do uso de sites reais, os criminosos também aplicam uma técnica conhecida como domain spoofing. No segundo vetor detectado, um endereço IP foi configurado para simular visualmente um subdomínio do Governo do Amapá. Ao ler rapidamente a URL, a vítima acredita estar em um portal de certificados oficial, quando, na verdade, está acessando um servidor controlado pelos golpistas.
Essa combinação de invasão de sistemas legítimos e engenharia social permite que o vírus seja baixado sem levantar suspeitas. A confiança institucional depositada em órgãos públicos torna-se, assim, a principal arma dos atacantes para romper a vigilância do usuário comum.
Como o malware opera silenciosamente no sistema Windows
A análise técnica indica que o arquivo malicioso foi desenvolvido em Delphi e utiliza o Inno Setup para aparentar ser um instalador de software legítimo. Assim que o usuário executa o programa, uma cadeia de sete etapas de infecção é iniciada de forma invisível.
O programa deposita uma pasta no sistema com nomes que remetem a softwares comerciais, como o “Boost Note”. Trata-se de uma técnica de sideloading, onde o código criminoso roda em paralelo a um aplicativo real. Enquanto a pessoa interage com uma interface normal, o vírus trabalha em segundo plano, monitorando cada atividade realizada no computador.
Persistência e monitoramento constante
Um dos pontos mais críticos dessa ameaça é a sua capacidade de permanecer ativa. O software configura entradas no Registro do Windows para que seja iniciado automaticamente toda vez que o computador for ligado. Além disso, o navegador Microsoft Edge é configurado para rodar oculto, facilitando a extração de dados sensíveis.
A cada dois minutos, o computador infectado entra em contato com um servidor de Comando e Controle (C2). Nessa comunicação, o malware recebe novas instruções e envia informações sobre a máquina, como o nome do usuário e identificadores únicos. Para evitar detecção por softwares de monitoramento de rede, os dados são transmitidos via protocolo HTTPS, o mesmo padrão de sites seguros.
Bibliotecas do sistema são usadas para roubo de dados bancários
O arsenal técnico do vírus é composto por bibliotecas nativas do Windows, que são subvertidas para fins criminosos. Cada uma desempenha um papel específico na coleta de informações:
-
Acesso a arquivos: Leitura de senhas, cookies de navegação e tokens de autenticação.
-
Descriptografia: Capacidade de ler senhas salvas nos navegadores Chrome e Edge que deveriam estar protegidas.
-
Interatividade: Captura de telas (screenshots), monitoramento de teclas digitadas (keylogging) e identificação de janelas de bancos abertas.
-
Manipulação de interface: Criação de janelas falsas para induzir o usuário a digitar códigos de segurança ou senhas adicionais.
Essa estrutura permite que os operadores realizem ataques de Man-in-the-Browser. Isso significa que toda a comunicação entre o navegador da vítima e o banco é replicada em tempo real para os criminosos. Cookies de sessão também são roubados, permitindo que os invasores acessem contas de e-mail e serviços financeiros sem sequer precisar da senha da vítima.
Suspeita de envolvimento do grupo Plump Spider
A infraestrutura utilizada na campanha apresenta semelhanças com operações anteriores do grupo Plump Spider, conhecido por fraudes financeiras no mercado brasileiro. Os servidores foram localizados em data centers que já serviram de base para esse grupo, e as mensagens de phishing utilizavam domínios falsos que imitavam o Microsoft Teams.
Os pesquisadores da ZenoX conseguiram acessar o painel de controle dos criminosos, onde cada máquina infectada era listada com seu respectivo status. A interface, criada em janeiro de 2026, demonstra que houve um planejamento prévio considerável antes do início das infecções em massa.
Diante desses fatos, a recomendação de especialistas é que usuários evitem baixar executáveis de fontes que não sejam os portais centrais de serviços, mesmo em sites .gov.br, e mantenham atenção redobrada a URLs que pareçam excessivamente longas ou com sequências numéricas suspeitas.
Leia mais:
Meta e AMD firmam parceria bilionária para acelerar infraestrutura de IA
WhatsApp Business lança nova IA para aprimorar atendimento de pequenas empresas
Hegemonia do Google resiste ao crescimento da inteligência artificial no Brasil
Siga nosso perfil no Instagram, Tiktok e curta nossa página no Facebook
