Cisco Talos alerta para novo malware que invade contas bancárias no Brasil

CarnavalHeist usa gírias brasileiras e mira usuários no País. Ataque começa com e-mail falso para suposta nota fiscal eletrônica

Publicado:

16/07/2024 às 12:50

Redação

Leitura

2 minutos

Imagem sombria com um laptop em foco e um símbolo de alerta vermelho no centro, representando uma ameaça digital. Há uma sobreposição de gráficos digitais abstratos em vermelho, sugerindo atividades cibernéticas ou ataques de malware. As mãos de uma pessoa digitando no teclado são visíveis ao fundo, enfatizando o risco de segurança online (malwares, ScarletStealer, Eset)

Imagem: Shutterstock

Um estudo divulgado recentemente pela Cisco Talos – unidade de inteligência de ameaças da Cisco – fez um alerta sobre a descoberta de um novo malware bancário criado por cibercriminosos brasileiros para atacar usuários no País. Chamado de “CarnavalHeist”, o trojan é consegue infectar computadores para roubar dados pessoais e invadir contas bancárias.

A existência do malware começou a ser notada em fevereiro de 2024, diz a Cisco Talos. A empresa suspeitou que a origem do malware era brasileira por conta das táticas, técnicas e procedimentos comuns a outros trojans bancários no País – basicamente malwares disfarçados de programas legítimos.

Outro grande indício é o fato de que o CarnavalHeist usa gírias brasileiras para descrever nomes de bancos. Além disso, sua infraestrutura de comando usa a zona de disponibilidade Brazil South do Azure (nuvem da Microsoft) para controlar as máquinas atingidas.

Apesar de a movimentação mais significativa do malware ter começado em fevereiro, a empresa suspeita de que o trojan esteja em desenvolvimento desde novembro de 2023. Houve expansão das atividades a partir de março de 2024.

CanavalHeist em ação

A infecção do “CarnavalHeist” começa com um e-mail (não-solicitado) com tema financeiro falso como isca. O usuário clicar em um link malicioso encurtado.

A partir do clique, o usuário é direcionado para o servidor responsável pela hospedagem da página web falsa. A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências uma nota fiscal eletrônica.

Após o clique, um comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário. Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”.

O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!