Perigo no Gov.br: hackers usam sites oficiais para roubar senhas e dados do PC

Uma nova campanha maliciosa pode ameaçar a paz de brasileiros. A empresa de segurança ZenoX divulgou um relatório que mostra como cibercriminosos estão explorando domínios do Gov.br para roubar dados bancários de usuários.

• Fraudes com imagens no Gov.br mostram por que biometria sozinha não basta
• Gov.br vai recomendar medida que aumenta a segurança da conta

Os ataques consistem na criação de URLs falsas que imitam os portais oficiais do governo, passando para as vítimas a sensação de legitimidade para que elas caiam na armadilha.

O objetivo da clonagem é espalhar um infostealer que permite o acesso remoto às máquinas comprometidas para espionar a atividade online de pessoas, obtendo acesso a credenciais sensíveis.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como a campanha funciona

Para concretizar a operação, os criminosos apostam em duas táticas. A primeira é o uso de sites reais que são comprometidos por um arquivo malicioso.

Nesse caso, os pesquisadores identificaram uma página legítima do governo do estado de Goiás que possuía um malware escondido na área de downloads do site. O software malicioso passa despercebido por antivírus e firewalls justamente pela página corrompida conter o domínio “gov.br”, um endereço considerado seguro pelos sistemas de segurança do computador.

Já a segunda estratégia consiste em endereços clonados. Aqui, os hackers criam links falsos que visualmente se parecem com portais oficiais do governo. Uma ação observada pelos especialistas usava um subdomínio do governo do Amapá, por exemplo.

A semelhança entre as duas práticas da campanha é que, em ambos os casos, o usuário acaba fazendo o download de um software malicioso, que finge ser um programa comum do Windows para enganar a vítima.

O que acontece após a instalação

Uma vez que o usuário faz o download do arquivo corrompido, o código comprometido inicia uma cadeia de infecção que resulta na instalação do infostealer. Tudo isso sem acionar nenhum alerta vermelho no sistema por estar escondido na estrutura de um aplicativo legítimo de anotações chamado Boost Note.

Dessa forma, o programa malicioso consegue registrar atividades no sistema, sendo executado automaticamente a cada nova inicialização do computador. O malware também opera em segundo plano no navegador para coletar credenciais armazenadas e usa bibliotecas do Windows para acessar arquivos sensíveis, registrar teclas digitadas e telas, interagir com e-mails e descriptografar senhas.

Além disso, há o monitoramento constante das atividades online que a vítima realiza em tempo real, coleta de cookies de sessão e apropriação de registros financeiros.

Por enquanto, não há informações sobre qual é o alcance da operação criminosa, ou como e se ela afeta mais estados brasileiros. A recomendação é evitar clicar em links desconhecidos, verificar o endereço do site e acessar portais governamentais apenas pelo aplicativo oficial ou a página verdadeira do governo federal.

Leia também:

• Megaoperação da Polícia Civil mira quadrilha suspeita de fraudes digitais
• Brasil está no top 3 de países com mais ataques de ransomware no mundo
• Ataque hacker na FGV derruba sistemas e atrasa concursos

Fonte: Fenati