TJTO dispara phishing por SMTP oficial com link .gov.br em PDF limpo
E-mail passou em SPF e DMARC porque saiu de um servidor real do tribunal.
Resumo rapido
Em 02/06/2026, a LC SEC detectou uma campanha de phishing brasileira que usou o servidor oficial do TJTO para disparar mensagens maliciosas. A mensagem passou em SPF e DMARC porque não havia falsificação — havia abuso de infraestrutura real. O anexo era um PDF sem código malicioso, com um único link apontando para outro servidor .gov.br comprometido, usado como redirecionador.
Neste artigo voce vai aprender:
- Por que um e-mail com autenticação válida ainda pode ser perigoso.
- Como o PDF foi usado para conduzir a vítima ao próximo estágio do ataque.
- Quais indicadores devem ser monitorados pelas equipes de TI.
- Como responder sem bloquear mensagens legítimas do tribunal.
- Quais ações tomar se alguém clicou no link.
Servidor comprometido, não remetente falsificado
Em 02/06/2026, a LC SEC identificou uma campanha de phishing que usou o servidor oficial do TJTO — smtp2.tjto.jus.br, IP 177.0.107.28 — para entregar mensagens maliciosas. A checagem de autenticidade passou em SPF e DMARC porque o e-mail não era uma falsificação: saiu de uma infraestrutura governamental real que havia sido comprometida.
Isso muda completamente o perfil de risco. Não se trata de um atacante imitando o tribunal. O servidor do TJTO estava sendo abusado ativamente, o que confere ao e-mail toda a aparência de legitimidade — inclusive para ferramentas de segurança que dependem de autenticação de origem.
PDF limpo como vetor: como o encadeamento .gov.br funciona
A mensagem chegava com o assunto Encaminhamento - 1 Vara Criminal – TJ Estado do Tocantins e remetente contato@tjto.jus.br. O anexo era um PDF sem JavaScript e sem comportamento que antivírus tradicionais reconheceriam como ameaça. A única função do arquivo era induzir um clique.
O link dentro do PDF apontava para aquisicoes.seplag.mt.gov.br/signkit.jsp, um segundo endereço .gov.br comprometido, operando como redirecionador para o payload final. O encadeamento .gov.br → .gov.br é o padrão atual dos trojans bancários brasileiros: cada etapa parece legítima isoladamente, o que dificulta bloqueios baseados apenas em reputação de domínio.
Sinais que merecem atenção imediata
Mesmo quando o e-mail parece autêntico, alguns elementos devem acender o alerta:
- Remetente vinculado a tjto.jus.br com conteúdo inesperado sobre intimação criminal.
- Anexo PDF que não apresenta comportamento malicioso aparente, mas contém link para URL externa.
- Presença do caminho signkit.jsp no corpo da mensagem ou dentro do PDF.
- URLs no padrão *.gov.br/*.jsp fora do contexto operacional esperado.
- Remetente específico observado na campanha: contato@tjto.jus.br.
Resposta cirúrgica: conteúdo, não domínio
Bloquear todo o domínio do TJTO não é a resposta certa — isso interromperia o recebimento de intimações legítimas. A medida mais eficaz é criar uma regra de conformidade de conteúdo no Google Workspace ou no Microsoft 365 para quarentenar mensagens que combinem dois critérios: remetente tjto.jus.br e corpo ou anexo contendo signkit.jsp.
Além da regra preventiva, é necessário fazer busca retroativa nos logs de e-mail e navegação. Procure cliques em URLs no padrão *.gov.br/*.jsp. Se houver clique confirmado, execute troca de senha, revogação de sessões ativas e análise do endpoint por EDR. O incidente deve ser reportado ao CERT.br e à equipe de TI do TJTO para contenção na origem.
Checklist de resposta ao incidente
- Criar regra no Google Workspace ou Microsoft 365 para quarentenar e-mails de tjto.jus.br que contenham signkit.jsp no corpo ou anexo.
- Vasculhar logs por acessos a aquisicoes.seplag.mt.gov.br/signkit.jsp e a URLs *.gov.br/*.jsp.
- Se houve clique: redefinir senhas, revogar sessões ativas e analisar o endpoint com EDR.
- Monitorar os IOCs: SHA-256 do PDF c5ebb398...6a6a36, IP 177.0.107.28 e remetente contato@tjto.jus.br.
- Reportar o caso ao CERT.br e à TI do TJTO para apoiar a contenção na origem.
Perguntas frequentes
Se o e-mail passou em SPF e DMARC, ele é seguro?
Não. SPF e DMARC validam a origem técnica da mensagem, não a intenção de quem a enviou. Neste caso, o servidor era real e havia sido comprometido — a autenticação passou porque o abuso aconteceu de dentro da infraestrutura legítima do TJTO.
Devo bloquear todos os e-mails do TJTO?
Não é a ação indicada. Bloquear o domínio inteiro interrompe intimações e comunicações legítimas. A abordagem correta é filtrar por conteúdo, combinando o domínio do remetente com a presença de signkit.jsp na mensagem ou no anexo.
Por que um PDF sem código malicioso ainda representa risco?
Porque o PDF não precisa executar nada — ele só precisa convencer a vítima a clicar. Mesmo sem JavaScript, o arquivo pode conter uma URI que direciona para a etapa seguinte do ataque. Antivírus tradicionais não bloqueiam o que não conseguem classificar como malicioso.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua empresa a detectar phishing realista, criar regras de bloqueio por conteúdo, investigar cliques suspeitos e responder rapidamente a incidentes com indicadores concretos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Compartilhe nas redes sociais:
