Os sites “gov.br” entraram no centro de um alerta após uma investigação revelar que campanhas sofisticadas de phishing e malware estariam explorando domínios governamentais legítimos.
Nesse sentido, a denúncia, que um relatório da empresa de cibersegurança ZenoX divulgou, aponta que criminosos sequestram esses domínios no intuito de hospedar conteúdos maliciosos.
Dessa forma, ao usar infraestruturas com reputação consolidada, os ataques conseguem driblar filtros de e-mail e listas de bloqueio. Sendo assim, o caso preocupa especialistas e autoridades. Isso se deve ao fato de que envolve a exploração direta da confiança institucional associada aos sites “gov.br”, amplamente reconhecidos pela população como sinônimo de autenticidade e segurança digital.
A investigação que apontou que os sites “gov.br” foram hackeados
A investigação que revelou que os sites “gov.br” foram hackeados descreve uma operação estruturada em dois vetores principais de ataque. De acordo com o relatório da ZenoX, criminosos estão sequestrando domínios governamentais legítimos para conduzir campanhas de phishing e driblar as defesas mais comuns utilizadas por empresas e usuários domésticos.
Subdomínio real comprometido
O primeiro vetor identificado está ligado a um subdomínio autêntico do Governo do Estado de Goiás. Sendo assim, ao comprometer uma estrutura legítima, os atacantes passaram a utilizá-la como ponto de distribuição de arquivos maliciosos.
Para isso, eles aproveitam do fato de que endereços terminados em “.gov.br” geralmente constam em listas brancas de antivírus, firewalls corporativos e sistemas de filtragem de tráfego.
Ou seja, isso significa que, para muitos sistemas de defesa, o simples fato de um link estar hospedado em um domínio governamental reduz drasticamente o nível de suspeita. Essa confiança automatizada é explorada como parte central da estratégia criminosa.
Endereço IP simulando portal oficial
O segundo vetor segue uma lógica diferente. Em vez de comprometer uma infraestrutura legítima, os criminosos registraram um servidor próprio e construíram uma URL que simula um subdomínio governamental. Com isso, o endereço IP 79.110.49.32 foi configurado para apresentar um caminho que remetia a um suposto portal de certificados do Governo do Amapá.
Na leitura superficial, o endereço 79.110.49.32/.certificados.ap.gov.br transmite a sensação de legitimidade. Apesar disso, não há qualquer domínio oficial registrado ali. Por outro lado, trata-se de uma estrutura criada para enganar o usuário por meio da leitura rápida, ao explorar uma técnica conhecida como typosquatting ou domain spoofing.
Engenharia social e confiança institucional
A combinação desses dois métodos é algo que revela uma compreensão sofisticada das fragilidades sistêmicas atuais. Em outras palavras, um vetor se apoia na reputação institucional de uma infraestrutura governamental comprometida.
Já o outro, na psicologia do usuário, que tende a confiar automaticamente em endereços que aparentam ser oficiais. De qualquer modo, em ambos os casos, o objetivo é o mesmo: induzir a vítima a baixar um arquivo aparentemente legítimo, iniciando uma cadeia de infecção silenciosa e altamente perigosa.

Detalhes do hackeamento dos sites “gov.br”
O relatório técnico traz detalhes alarmantes sobre como o hackeamento dos sites “gov.br” foi operacionalizado na prática.
Portal oficial utilizado como hospedagem
Nesse sentido, o primeiro endereço que os pesquisadores identificaram foi o subdomínio “cmdca.go.gov.br”, vinculado ao portal oficial do Conselho Municipal dos Direitos da Criança e do Adolescente do Estado de Goiás. Em outras palavras, trata-se de uma entidade pública com certificado SSL válido e reputação consolidada nas principais ferramentas de segurança.
Os operadores da campanha comprometeram esse servidor e passaram a utilizar o diretório de downloads do portal no intuito de hospedar um executável malicioso distribuído sob o nome “Certificado_PCAP.exe”. Vale destacar que a escolha do nome não foi aleatória: remete a algo técnico e aparentemente oficial, reforçando a credibilidade do arquivo.
Como URLs terminadas em “.gov.br” integram listas brancas de segurança, muitos sistemas corporativos dispensam inspeções aprofundadas nesses endereços. Logo, o resultado é uma dupla falsa sensação de proteção: o usuário confia na origem do arquivo e o sistema de defesa também.
Estrutura forjada em servidor próprio
No segundo vetor, os criminosos não precisaram comprometer nenhuma infraestrutura governamental. Ao registrar um servidor próprio e montar uma URL que simula um subdomínio oficial, exploraram a leitura superficial feita pela maioria das pessoas.
Esse método demonstra que não é necessário invadir diretamente todos os portais oficiais para explorar sua reputação. Basta replicar padrões visuais e estruturais que remetam à identidade governamental.
Malware escrito em Delphi e empacotado com ferramenta legítima
Independentemente do vetor utilizado, o resultado final era o download automático do “Certificado_PCAP.exe”. A análise técnica da ZenoX identificou que o arquivo foi escrito em Delphi, linguagem frequentemente utilizada por grupos criminosos brasileiros na criação de trojans bancários e stealers.
Para empacotar o conteúdo malicioso, os operadores utilizaram o Inno Setup, uma ferramenta legítima de criação de instaladores para Windows. Isso confere ao arquivo a aparência de um programa comum, dificultando ainda mais a detecção por soluções de segurança.
Cadeia silenciosa de sete etapas
Após a execução do arquivo, inicia-se uma cadeia de sete etapas silenciosas. O instalador cria uma pasta em “C:\Users[usuario]\AppData\Local\ProSoftionTechMax” e deposita ali um segundo executável: o “boost.exe”.
Um ponto de atenção é que o nome da pasta foi escolhido para soar como um produto comercial legítimo. Já o “boost.exe” remete ao aplicativo real Boost Note, amplamente conhecido entre desenvolvedores.
Na prática, trata-se de uma cópia trojanizada do programa original. A vítima interage com a interface aparentemente normal enquanto o malware opera em segundo plano, invisível aos olhos do usuário.
Técnica de sideloading e uso do Electron
A técnica utilizada é chamada de sideloading, que consiste em injetar um código malicioso dentro de um aplicativo legítimo. O Boost Note foi escolhido estrategicamente por ser construído sobre o framework Electron, uma tecnologia que permite criar programas desktop com JavaScript.
Como o código malicioso também é executado nesse ambiente, ele consegue operar sem acionar mecanismos tradicionais de detecção. O resultado é um malware que intercepta senhas, captura cookies de sessão, monitora transações bancárias em tempo real e recebe comandos periódicos do servidor criminoso.
Consequências do hackeamento dos sites “gov.br”
As consequências do hackeamento dos sites “gov.br” vão além da infecção isolada de máquinas individuais.
Roubo de credenciais e sessões bancárias
A classificação do malware que se identificou é de um trojan bancário com funcionalidades de stealer. Em outras palavras, ele é capaz de capturar credenciais que o navegador armazena, interceptar sessões ativas e coletar tokens de autenticação.
Isso significa que, mesmo que a vítima utilize autenticação em dois fatores, a interceptação da sessão em tempo real pode permitir que os criminosos executem transações fraudulentas enquanto o usuário está conectado.
Comprometimento corporativo
Em ambientes corporativos, o impacto pode ser ainda maior. Uma única máquina comprometida pode servir de porta de entrada para movimentação lateral na rede interna da empresa, ampliando o alcance do ataque. Além disso, o fato de os links estarem hospedados ou aparentarem estar vinculados a domínios governamentais dificulta o bloqueio preventivo por parte das equipes de TI.
Erosão da confiança digital
Talvez uma das consequências mais graves seja a erosão da confiança pública. Nesse sentido, quando portais governamentais são associados a campanhas maliciosas, mesmo que tenham sido vítimas de comprometimento externo, a percepção de segurança digital da população é abalada. Ou seja, isso pode gerar receio no uso de serviços digitais oficiais, afetando iniciativas de transformação digital e inclusão tecnológica.
Como se proteger dos desdobramentos do hackeamento dos sites “gov.br”?
Diante desse cenário, a prevenção se torna essencial.
Verificação detalhada de URLs
Usuários devem analisar cuidadosamente a estrutura completa do endereço eletrônico, observando se o domínio principal é realmente “gov.br” e não apenas parte do caminho da URL.
Desconfiança de downloads inesperados
Portais governamentais raramente exigem o download de executáveis (.exe). Sendo assim, qualquer solicitação desse tipo deve ser vista com extrema cautela.
Atualização constante de sistemas
Manter sistema operacional, navegadores e antivírus atualizados é fundamental para reduzir vulnerabilidades exploráveis.
Uso de soluções de segurança avançadas
Empresas devem adotar ferramentas de inspeção profunda de tráfego, que sejam capazes de analisar inclusive links que domínios considerados confiáveis hospedam.
Lições a aprender com o hackeamento dos sites “gov.br”
O caso envolvendo os sites “gov.br” reforça que a segurança digital não é algo que pode depender exclusivamente da reputação institucional de um domínio.
Confiança não pode substituir verificação
Mesmo endereços oficiais podem ser comprometidos. Sendo assim, a verificação ativa deve ser uma prática constante, tanto por usuários quanto por administradores de sistemas.
Necessidade de monitoramento contínuo
Órgãos públicos precisam investir em aspectos como por exemplo monitoramento constante, auditorias regulares e resposta rápida a incidentes.
Educação digital como pilar essencial
A conscientização da população é uma das ferramentas mais eficazes contra phishing e engenharia social. Nesse sentido, quanto mais informados estiverem os usuários, menores serão as chances de sucesso de campanhas maliciosas.
Em última análise, o episódio envolvendo os sites “gov.br” demonstra que a sofisticação dos ataques evolui rapidamente e exige respostas igualmente avançadas. Logo, para se manter informado e aprender mais sobre como se proteger contra ameaças como essa, acompanhe nossos conteúdos e compartilhe este artigo no intuito de ampliar a conscientização sobre segurança digital!
*com uso de Inteligência Artificial

