Golpistas estão usando o e-mail com domínio @gov.br para se passar pelo governo federal, em tentativa enganar brasileiros. A mensagem chega à vítima com um aviso sobre um suposto processo que tramita no STJ (Superior Tribunal de Justiça). No entanto, a ação é, na verdade, um golpe de phishing sofisticado, e pode levar o usuário a baixar malware de acesso remoto.
O e-mail alega ser uma notificação de “acompanhamento processual” do STJ. No corpo da mensagem, constam duas fotos em miniatura do que parecem ser processos reais — com o brasão da República para dar um ar de legitimidade —, e o texto: “Remetemos,em anexo(sic),detalhes sobre seu processo juridico”.
Os erros de digitação e gramática já levam a entender que não se trata de uma mensagem oficial do STJ. Ao observar o endereço do remetente, também percebe-se que o nome da Corte está invertido: “tribunalsuperiordejustiça@gov.br”.
O golpista oferece dois arquivos para que o usuário ou baixe o processo ou visualize o documento para a impressão. Mas o resultado é o mesmo: uma infecção por um malware, um vírus de computador usado para controlar a máquina da vítima e roubar dados sensíveis.
E-mail @gov.br pode ser usado por qualquer pessoa. Como alguém pode usar um endereço de remetente que pareça mesmo ser legítimo — especialmente se tratando de um domínio relacionado ao governo?
Como aponta o especialista Thiago Ayub, diretor de tecnologia da Sage Networks, o endereço gov.br não é registrável — diferentemente do que seria com algumacoisa.gov.br. Segundo Ayub, o endereço @gov.br não possui entrada TXT SPF, mas não há uma falha do governo, nesse caso: “Nenhum servidor de e-mail bem configurado deveria receber e-mails nessas condições”, explica.
“É como se uma pessoa criasse um perfil de e-mail com o final ‘@com.com.br’. Simplesmente não há nada que impeça alguém de manipular o final do domínio @gov.br para tentar enganar usuários”, afirma Eduardo Schultze, que é líder de Threat Intelligence da consultoria de cibersegurança Axur.
No e-mail recebido por um usuário, o G Suite, serviço da conta corporativa do Google, não impediu a mensagem maliciosa de chegar na caixa de entrada, dando a entender que aquela mensagem era legítima.
Para impedir mensagens suspeitas e spoofing — prática de falsificação de e-mail — o Google usa dois sistemas de autenticação de remetente: o SPF (Sender Policy Framework) e o DKIM (DomainKeys Identified Mail). Cada e-mail enviado a um usuário do Gmail passa pelo processo de verificação feito por essas duas ferramentas.
Para as empresas, além desses dois sistemas, o G Suite possui o DMARC (Domain-base Message Authentication, Reporting and Conformance). Diferentemente do SPF e do DKIM, essa ferramenta ajuda empresas a registrarem domínios e evitarem spoofing. Desta forma, por exemplo, uma pessoa comum não pode criar um e-mail com o nome de uma operadora de banda larga e enviar boletos de cobrança em seu nome.
Mas já houve casos em que uma falha no servidor de uma empresa foi explorada por usuários. Aconteceu com a Uber: um cliente da empresa alertou que qualquer um poderia explorar a brecha e criar um e-mail falso @uber.com para cobrar por corridas e enganar usuários.
Como os e-mails de spam e phishing são disparados para milhares de alvos simultaneamente, o Google também monta uma base de domínios suspeitos, se baseando nas leituras de mensagens feitas por DKIM, SPF e DMARC. Assim, o Gmail reúne todas essas informações para avisar o usuário do perigo.
Mas o e-mail com @gov.br não foi detectado imediatamente como uma mensagem suspeita — a plataforma coloca uma grande etiqueta vermelha quando isso ocorre. E esse aviso só foi colocado na mensagem cinco horas após o recebimento, no caso de um usuário. Hacker do @gov.br aluga servidor privado da Linode.
Ao analisar as informações do remetente falso com o “@gov.br”, é possível observar que a mensagem partiu de um servidor privado da empresa Linode, conhecida por oferecer servidores de aluguel.
Portanto, o esquema de phishing não é tão simples; existe uma infraestrutura criada exclusivamente para fazer os ataques e infectar máquinas de usuários. De acordo com Eduardo Schultze, da Axur, o IP da Linode é apenas para mascarar um segundo IP, associado ao arquivo presente no e-mail isca.
O verdadeiro IP do atacante foi criado há pouco tempo, o que dificulta a detecção feita pelas ferramentas do Google. “Ele montou um servidor de e-mail, o configurou e usou para orquestrar os golpes. O usuário, ao baixar o arquivo, o baixa desse segundo IP. É até possível que o malware esteja dentro desse endereço”, explica Schultze.
Em nota, a Linode apontou que os termos de serviço da empresa proíbem o uso de servidores alugados para phishing. “O time de Segurança e Confiança da empresa investiga todo e qualquer abuso relatado”, disse a empresa de TI. A Linode não confirmou se o hacker foi banido e teve o uso de seu servidor suspenso. Ataque usa Trojan que controla dispositivo remotamente.
Segundo a análise de Alisson Moretto, Malware Researcher na Axur, o malware que o e-mail transmite é um RAT (Remote Access Trojan).
Esse vírus é capaz de infectar o dispositivo da vítima e, a partir do download, controlá-lo remotamente. Segundo o catálogo de softwares maliciosos da Kaspersky, o RAT é classificado como extremamente perigoso porque permite ao hacker controlar a webcam, monitorar dados do teclado — ele decodifica o que você escreve —, e permite a instalação e desinstalação de programas.
Apenas algumas versões de sistemas operacionais são capazes de reconhecer o controle remoto do hacker. O Windows 10 avisa o usuário caso isso ocorra, mas o Windows 7, por exemplo, não reconhece o vírus.
Ao analisar as capacidades dos antivírus em lidar com o RAT, apenas 9 de 67 softwares identificaram o malware como uma ameaça ao sistema. Moretto aponta:
Quando questionado sobre o golpe, o Serpro afirmou que contém “várias ferramentas de barragem de e-mails maliciosos”, mas não respondeu sobre o uso do @gov.br.
A reportagem questionou a empresa sobre a possibilidade de colocar o domínio @gov.br em uma lista de endereços suspeitos, mas não houve resposta até o horário de publicação.
Fonte: Tecnoblog
