Recentemente recebemos um report de um cliente onde havia recebido um e-mail originado da Polícia Civil do Amapá.
O remetente referência uma pessoa chamda Nashya Ribeiro com o e-mail: nashyaribeiro@policiacivil[.]ap[.]gov[.]br.
O e-mail gera urgência determinando um prazo de 1 dia informando que os detalhes da solicitação se encontram no PDF
Passando por uma pesquisa rápida o domínio policiacivil[.]ap[.]gov[.]br é realmente utilizado pela ´Polícia Civil do Amapa – hxxps[://]policiacivil[.]portal[.]ap[.]gov[.]br/pagina/unidades-policiais/especializadas
Dentro do PDF tem um link no botão instalar certificado que aponta para um endereço que atualmente quando acessado, já se apresenta fora do ar. hxxps[://]195[.]177[.]94[.]193/[.]certificados[.]ap[.]gov[.]br
O link estava hospedado em um datacenter localizado nos Estados Unidos denominado STELLARGROUP aparentemente de origem Ucraniana.
Identificamos através de fontes externas que a campanha ainda continua ativa seguindo o mesmo padrão de e-mails e anexos.
João Fuzinelli, formado em Sistemas de informação possui algumas certificações de mercado e vasta experiência em ambientes de infraestrutura crítica e cibersegurança. Atualmente trabalha nas operações de SOC da CYLO Cybersecurity.