Mais de 20 sites do governo brasileiro sequestrados para malware
Uma campanha ativa do grupo PhantomEnigma resultou no sequestro de mais de 20 sites do governo brasileiro, transformando-os em canais de entrega de malware. A investigação realizada pela ANY.RUN revelou um comportamento de backdoor não documentado anteriormente, além de conexões de infraestrutura ocultas e múltiplos vetores de ataque que colocam bancos e agências públicas em risco. Os ataques começaram com documentos falsos, como ‘Ofício Polícia Civil’ e ‘Procuração Digital’, que incluíam QR codes e links que pareciam legítimos. Os e-mails fraudulentos, enviados de caixas de correio comprometidas, passaram por verificações de segurança, como SPF, DKIM e DMARC, aumentando sua aparência de legitimidade. Os sistemas governamentais foram usados como infraestrutura confiável para a entrega do malware, sem serem os alvos finais. A evolução da campanha incluiu a transição de atividades focadas em bancos para o uso de sites .gov.br comprometidos, dificultando a detecção. O malware, um backdoor modular, pode coletar dados do sistema, estabelecer persistência e entregar diferentes cargas úteis, tornando a contenção mais desafiadora. Este incidente destaca a necessidade de vigilância contínua e de um protocolo seguro para relatar mensagens suspeitas, especialmente em setores críticos como o financeiro e o público.
