RECOMENDAÇÃO 02/2026

1. O CISC GOV.BR, em parceria com o CTIR Gov, informa que foi detectada uma operação cibernética que se aproveita da credibilidade dos endereços .gov.br para distribuir malwares de roubo de dados e controle remoto. Os criminosos estão sequestrando subdomínios públicos legítimos e forjando URLs falsas para induzir o download de arquivos maliciosos, muitas vezes disfarçados de certificados oficiais.

2. O ataque tem início quando o usuário clica em um link fraudulento ao buscar por um serviço público na internet (geralmente enviado em uma campanha de phishing, cujo remetente é uma conta legítima "gov.br"). Ao acessar a página, que simula o visual de um site do governo, a vítima é induzida a baixar um arquivo executável disfarçado de documento oficial, frequentemente nomeado como "Certificado_PCAP.exe". Como o endereço exibe a terminação ".gov.br" ou utiliza técnicas para parecer um domínio legítimo, o download costuma contornar as barreiras de segurança da rede e não gera desconfiança. Esse download também pode ser executado no momento de abertura de anexos contaminados (Exemplo: arquivos PDF). Após o download, o arquivo é executado sem emitir alertas visuais. Para burlar os sistemas de defesa, a ameaça se instala silenciosamente e se camufla dentro de programas confiáveis, como o aplicativo Boost Note. O malware altera o registro do sistema para garantir persistência e passa a monitorar a máquina continuamente, coletando credenciais, decriptografando senhas salvas nos navegadores e estabelecendo comunicação constante com servidores externos para interceptar sessões financeiras em tempo real.

3. Como identificar o comprometimento:
- Monitore os servidores que hospedam os sites do órgão e faça uma varredura rigorosa nos diretórios de download e pastas de uploads públicos, buscando por arquivos ou atividades suspeitas.
- Verifique os logs de acesso web (Access/Error Logs) em busca de requisições de upload anômalas ou de picos de tráfego de download direcionados a arquivos executáveis que não fazem parte do escopo do portal.
- Realize varreduras nas estações de trabalho em busca dos arquivos suspeitos, principalmente arquivos nomeados como Certificado_PCAP.exe e boost.exe.
- Inspecione a existência do diretório anômalo C:\Users\[usuário]\AppData\Local\ProSoftionTechMax nas estações de trabalho.
- Verifique firewalls, proxies e soluções de filtro web buscando por qualquer histórico de requisições ou tráfego direcionado para o IP 79[.]110[.]49[.]32 ou para os domínios kapa[.]is e kak[.]is.
- Inspecione o registro do Windows das máquinas, especificamente a chave HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, buscando por entradas desconhecidas que apontem para a execução automática dos artefatos mencionados.
- Monitore a rede em busca de conexões HTTPS que realizem comunicação em intervalos fixos (beacons a cada 120 segundos) ou que aceitem certificados SSL autoassinados e inválidos.

4. Recomendações:
- Bloqueie preventivamente o tráfego para o IP 79[.]110[.]49[.]32 e para os domínios kapa[.]is e kak[.]is nas soluções de segurança de rede (Firewall/Proxy/DNS).
- Configure alertas para execuções suspeitas originadas do diretório AppData\Local, especialmente relacionadas ao software Boost Note, caso este não seja homologado no ambiente do órgão.
- Desabilite a funcionalidade de salvamento automático de senhas nos navegadores, orientando o uso de cofres de senhas homologados.
- Divulgue campanhas educativas de ampla cobertura no órgão, orientando os usuários quanto ao recebimento de emails suspeitos com links, anexos (PDF, DOC, PPTX, HTML, etc), e outros conteúdos maliciosos. Nesse contexto, é importante divulgar o email da ETIR ou do suporte que possa receber esses emails de phishing para análise e bloqueio.

5. Em caso de suspeita ou confirmação de incidente, o órgão deve reportar a ocorrência de imediato ao CTIR Gov (ctir@ctir.gov.br) e ao CISC GOV.BR (cisc@gestao.gov.br).

[TLP:CLEAR]

Categoria
Comunicações e Transparência Pública