E-mail passou em SPF e DMARC porque saiu de um servidor real do tribunal.
Em 02/06/2026, a LC SEC detectou uma campanha de phishing brasileira que usou o servidor oficial do TJTO para disparar mensagens maliciosas. A mensagem passou em SPF e DMARC porque não havia falsificação — havia abuso de infraestrutura real. O anexo era um PDF sem código malicioso, com um único link apontando para outro servidor .gov.br comprometido, usado como redirecionador.
Em 02/06/2026, a LC SEC identificou uma campanha de phishing que usou o servidor oficial do TJTO — smtp2.tjto.jus.br, IP 177.0.107.28 — para entregar mensagens maliciosas. A checagem de autenticidade passou em SPF e DMARC porque o e-mail não era uma falsificação: saiu de uma infraestrutura governamental real que havia sido comprometida.
Isso muda completamente o perfil de risco. Não se trata de um atacante imitando o tribunal. O servidor do TJTO estava sendo abusado ativamente, o que confere ao e-mail toda a aparência de legitimidade — inclusive para ferramentas de segurança que dependem de autenticação de origem.
A mensagem chegava com o assunto Encaminhamento - 1 Vara Criminal – TJ Estado do Tocantins e remetente contato@tjto.jus.br. O anexo era um PDF sem JavaScript e sem comportamento que antivírus tradicionais reconheceriam como ameaça. A única função do arquivo era induzir um clique.
O link dentro do PDF apontava para aquisicoes.seplag.mt.gov.br/signkit.jsp, um segundo endereço .gov.br comprometido, operando como redirecionador para o payload final. O encadeamento .gov.br → .gov.br é o padrão atual dos trojans bancários brasileiros: cada etapa parece legítima isoladamente, o que dificulta bloqueios baseados apenas em reputação de domínio.
Mesmo quando o e-mail parece autêntico, alguns elementos devem acender o alerta:
Bloquear todo o domínio do TJTO não é a resposta certa — isso interromperia o recebimento de intimações legítimas. A medida mais eficaz é criar uma regra de conformidade de conteúdo no Google Workspace ou no Microsoft 365 para quarentenar mensagens que combinem dois critérios: remetente tjto.jus.br e corpo ou anexo contendo signkit.jsp.
Além da regra preventiva, é necessário fazer busca retroativa nos logs de e-mail e navegação. Procure cliques em URLs no padrão *.gov.br/*.jsp. Se houver clique confirmado, execute troca de senha, revogação de sessões ativas e análise do endpoint por EDR. O incidente deve ser reportado ao CERT.br e à equipe de TI do TJTO para contenção na origem.
Não. SPF e DMARC validam a origem técnica da mensagem, não a intenção de quem a enviou. Neste caso, o servidor era real e havia sido comprometido — a autenticação passou porque o abuso aconteceu de dentro da infraestrutura legítima do TJTO.
Não é a ação indicada. Bloquear o domínio inteiro interrompe intimações e comunicações legítimas. A abordagem correta é filtrar por conteúdo, combinando o domínio do remetente com a presença de signkit.jsp na mensagem ou no anexo.
Porque o PDF não precisa executar nada — ele só precisa convencer a vítima a clicar. Mesmo sem JavaScript, o arquivo pode conter uma URI que direciona para a etapa seguinte do ataque. Antivírus tradicionais não bloqueiam o que não conseguem classificar como malicioso.
A LC SEC ajuda sua empresa a detectar phishing realista, criar regras de bloqueio por conteúdo, investigar cliques suspeitos e responder rapidamente a incidentes com indicadores concretos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io