Atualização (15/03):
O Coordenador de Infraestrutura e Governança da Enap entrou em contato com o DefCon-Lab para informar:
“Na manhã do dia 14/03/2019, a equipe técnica da Coordenação-Geral de Tecnologia da Informação da Enap realizou as seguintes atividades para corrigir o problema: o portal em questão (inclusao.enap.gov.br) foi retirado do ar, o conteúdo malicioso removido e a vulnerabilidade corrigida, tendo o portal voltado ao ar na tarde do dia 14/03/2019.”
Identificamos hospedagem de Trojan na Enap – Escola Nacional de Administração Pública (https://www.enap.gov.br).
O artefato está hospedado na seguinte URL:
hxxps://inclusao.enap.gov.br/wp-content/Intuit/company/RDEB/Operations/ansh-WkZ6p_dFs-qSn/
$ sha256sum REDEBIT____49986.doc
c4909afd2aa7fced77f8be241aba796a5ed039f32cf26b5687356e729b1e09e6
Análise do arquivo no VirusTotal:
A análise comportamental (análise dinâmica) também comprova o comportamento malicioso. Acesso aqui o relatório da Hybrid-Analysis.