🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Mais de 20 sites do governo brasileiro foram sequestrados e transformados em canais de entrega de malware em uma campanha ativa do PhantomEnigma descoberta pela ANY.RUN, fornecedora líder de análise interativa de malware e soluções de inteligência de ameaças.
A investigação revelou comportamento de backdoor anteriormente não documentado, relações ocultas de infraestrutura e múltiplas armas de ataque por trás de uma campanha que coloca bancos e agências públicas em risco.
Ao conectar centenas de sessões de sandbox aparentemente não relacionadas, os pesquisadores da ANY.RUN expuseram o escopo mais amplo da operação e mostraram como links .gov.br confiáveis e e-mails autenticados ajudaram a atividade a permanecer oculta.
Para obter a análise técnica completa, detalhes da infraestrutura, indicadores e orientações de detecção, leia o relatório completo da investigação PhantomEnigma
Infraestrutura governamental confiável tornou-se a atração
O ataque começou com documentos falsos com temática policial apresentados como avisos oficiais do “Ofício Polícia Civil” ou “Procuração Digital”. Alguns continham códigos QR, enquanto outros direcionavam os destinatários para links projetados para parecerem recursos governamentais legítimos.
Documento falso com tema policial analisado dentro da sandbox ANY.RUN para visibilidade total do ataque PhantomEnigma
Em vários casos, os e-mails foram enviados através de caixas de correio comprometidas e passaram nas verificações SPF, DKIM e DMARC. Isso deu às mensagens uma aparência de legitimidade mais forte do que os e-mails de phishing falsificados comuns.
As vítimas foram então redirecionadas através de hosts .gov.br comprometidos ou domínios semelhantes com temática policial antes de chegarem ao instalador malicioso. Os sistemas governamentais foram utilizados como infra-estruturas de distribuição fiáveis e não necessariamente como alvos finais da campanha.
Anfitriões governamentais observados
Entre os sistemas comprometidos observados durante a investigação estavam timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (segurança pública estadual), aplicacao.cbm.mt.gov[.]br (bombeiros), prodoc.ap.gov[.]br, entre outros.
Consulta TI Lookup que envolve hosts governamentais comprometidos
Estes legítimos portais municipais, de segurança pública e judiciais foram utilizados em diferentes fases da cadeia de distribuição. Vários também apareceram em mais de um braço de ataque PhantomEnigma, ajudando os pesquisadores a conectar atividades que inicialmente pareciam não relacionadas.
A evolução do PhantomEnigma: dois caminhos para uma detecção mais difícil
Linha do tempo da atividade maliciosa do PhantomEnigma
A linha do tempo mostra uma operação evoluindo ao longo de dois caminhos principais:
Entrega: PhantomEnigma passou de atividades com foco bancário em 2025 para abuso de sites .gov.br e contas de e-mail comprometidas em 2026. Isso deu à campanha um caminho mais confiável para as vítimas, sem confirmar um novo grupo-alvo.
Arsenal: O malware evoluiu de um banqueiro de extensão de navegador para um backdoor modular Inno/Node.js capaz de executar JavaScript e entregar cargas adicionais.
Para as equipes de segurança, essa combinação cria uma séria lacuna de visibilidade. A infraestrutura confiável reduz as suspeitas, as cargas modulares podem mudar após a infecção e os domínios C2 rotativos tornam rapidamente as listas de bloqueio estáticas desatualizadas. A análise comportamental e a busca contínua de ameaças fornecem uma cobertura mais confiável à medida que a campanha evolui.
Do e-mail confiável ao compromisso total: a cadeia de ataque PhantomEnigma
O processo de análise do PhantomEnigma dentro da sandbox interativa
Depois que a vítima se envolveu com a isca, a campanha passou por uma cadeia de infecção em vários estágios:
E-mail de phishing: uma isca falsa com tema policial ou documento oficial chega à vítima.
Infraestrutura confiável: o link redireciona através de um host governamental comprometido ou de um domínio semelhante com tema policial.
Instalador malicioso: um Inno Setup, MSI ou outro instalador inicia a infecção.
Aplicativo Patched Electron: software legítimo carrega um backdoor index.js malicioso.
Ativação backdoor: o malware coleta dados do sistema, estabelece persistência e se conecta à infraestrutura C2 rotativa.
Entrega de segundo estágio: O backdoor executa JavaScript ou entrega ladrões, carregadores, software RMM e outros malwares.
Impacto nos negócios: A infecção pode levar ao comprometimento de credenciais, acesso não autorizado, fraude, exposição de dados e interrupção operacional.
O que os pesquisadores encontraram dentro do backdoor do PhantomEnigma
As sessões sandbox expuseram mais do que um simples downloader. Escondido dentro de um Boostnote corrigido e de outros aplicativos estava um backdoor modular index.js construído para identificar máquinas infectadas, manter o acesso e entregar diferentes cargas sob demanda.
Uma vez ativado, o backdoor poderá:
Colete o nome do computador da vítima, nome de usuário e detalhes do sistema
Crie uma ID de máquina persistente e leia uma tag de campanha armazenada ao lado do instalador
Estabeleça persistência por meio de configurações de login
Verifique se há novos comandos a cada 180 segundos
Execute JavaScript diretamente através de eval()
Baixe e inicie cargas executáveis
Comunique-se através de múltiplos ser
A investigação revelou comportamento de backdoor anteriormente não documentado, relações ocultas de infraestrutura e múltiplas armas de ataque por trás de uma campanha que coloca bancos e agências públicas em risco.
Ao conectar centenas de sessões de sandbox aparentemente não relacionadas, os pesquisadores da ANY.RUN expuseram o escopo mais amplo da operação e mostraram como links .gov.br confiáveis e e-mails autenticados ajudaram a atividade a permanecer oculta.
Para obter a análise técnica completa, detalhes da infraestrutura, indicadores e orientações de detecção, leia o relatório completo da investigação PhantomEnigma
Infraestrutura governamental confiável tornou-se a atração
O ataque começou com documentos falsos com temática policial apresentados como avisos oficiais do “Ofício Polícia Civil” ou “Procuração Digital”. Alguns continham códigos QR, enquanto outros direcionavam os destinatários para links projetados para parecerem recursos governamentais legítimos.
Documento falso com tema policial analisado dentro da sandbox ANY.RUN para visibilidade total do ataque PhantomEnigma
Em vários casos, os e-mails foram enviados através de caixas de correio comprometidas e passaram nas verificações SPF, DKIM e DMARC. Isso deu às mensagens uma aparência de legitimidade mais forte do que os e-mails de phishing falsificados comuns.
As vítimas foram então redirecionadas através de hosts .gov.br comprometidos ou domínios semelhantes com temática policial antes de chegarem ao instalador malicioso. Os sistemas governamentais foram utilizados como infra-estruturas de distribuição fiáveis e não necessariamente como alvos finais da campanha.
Anfitriões governamentais observados
Entre os sistemas comprometidos observados durante a investigação estavam timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (segurança pública estadual), aplicacao.cbm.mt.gov[.]br (bombeiros), prodoc.ap.gov[.]br, entre outros.
Consulta TI Lookup que envolve hosts governamentais comprometidos
Estes legítimos portais municipais, de segurança pública e judiciais foram utilizados em diferentes fases da cadeia de distribuição. Vários também apareceram em mais de um braço de ataque PhantomEnigma, ajudando os pesquisadores a conectar atividades que inicialmente pareciam não relacionadas.
A evolução do PhantomEnigma: dois caminhos para uma detecção mais difícil
Linha do tempo da atividade maliciosa do PhantomEnigma
A linha do tempo mostra uma operação evoluindo ao longo de dois caminhos principais:
Entrega: PhantomEnigma passou de atividades com foco bancário em 2025 para abuso de sites .gov.br e contas de e-mail comprometidas em 2026. Isso deu à campanha um caminho mais confiável para as vítimas, sem confirmar um novo grupo-alvo.
Arsenal: O malware evoluiu de um banqueiro de extensão de navegador para um backdoor modular Inno/Node.js capaz de executar JavaScript e entregar cargas adicionais.
Para as equipes de segurança, essa combinação cria uma séria lacuna de visibilidade. A infraestrutura confiável reduz as suspeitas, as cargas modulares podem mudar após a infecção e os domínios C2 rotativos tornam rapidamente as listas de bloqueio estáticas desatualizadas. A análise comportamental e a busca contínua de ameaças fornecem uma cobertura mais confiável à medida que a campanha evolui.
Do e-mail confiável ao compromisso total: a cadeia de ataque PhantomEnigma
O processo de análise do PhantomEnigma dentro da sandbox interativa
Depois que a vítima se envolveu com a isca, a campanha passou por uma cadeia de infecção em vários estágios:
E-mail de phishing: uma isca falsa com tema policial ou documento oficial chega à vítima.
Infraestrutura confiável: o link redireciona através de um host governamental comprometido ou de um domínio semelhante com tema policial.
Instalador malicioso: um Inno Setup, MSI ou outro instalador inicia a infecção.
Aplicativo Patched Electron: software legítimo carrega um backdoor index.js malicioso.
Ativação backdoor: o malware coleta dados do sistema, estabelece persistência e se conecta à infraestrutura C2 rotativa.
Entrega de segundo estágio: O backdoor executa JavaScript ou entrega ladrões, carregadores, software RMM e outros malwares.
Impacto nos negócios: A infecção pode levar ao comprometimento de credenciais, acesso não autorizado, fraude, exposição de dados e interrupção operacional.
O que os pesquisadores encontraram dentro do backdoor do PhantomEnigma
As sessões sandbox expuseram mais do que um simples downloader. Escondido dentro de um Boostnote corrigido e de outros aplicativos estava um backdoor modular index.js construído para identificar máquinas infectadas, manter o acesso e entregar diferentes cargas sob demanda.
Uma vez ativado, o backdoor poderá:
Colete o nome do computador da vítima, nome de usuário e detalhes do sistema
Crie uma ID de máquina persistente e leia uma tag de campanha armazenada ao lado do instalador
Estabeleça persistência por meio de configurações de login
Verifique se há novos comandos a cada 180 segundos
Execute JavaScript diretamente através de eval()
Baixe e inicie cargas executáveis
Comunique-se através de múltiplos ser
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #mais #de #20 #sites #governamentais #sequestrados #se #tornaram #um #canal #de #ataque
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário