Cisco Talos alerta para novo malware que invade contas bancárias no Brasil

CarnavalHeist usa gírias brasileiras e mira usuários no País. Ataque começa com e-mail falso para suposta nota fiscal eletrônica

Author Photo
12:50 pm - 16 de julho de 2024
Imagem: Shutterstock

Um estudo divulgado recentemente pela Cisco Talos – unidade de inteligência de ameaças da Cisco – fez um alerta sobre a descoberta de um novo malware bancário criado por cibercriminosos brasileiros para atacar usuários no País. Chamado de “CarnavalHeist”, o trojan é consegue infectar computadores para roubar dados pessoais e invadir contas bancárias.

A existência do malware começou a ser notada em fevereiro de 2024, diz a Cisco Talos. A empresa suspeitou que a origem do malware era brasileira por conta das táticas, técnicas e procedimentos comuns a outros trojans bancários no País – basicamente malwares disfarçados de programas legítimos.

Outro grande indício é o fato de que o CarnavalHeist usa gírias brasileiras para descrever nomes de bancos. Além disso, sua infraestrutura de comando usa a zona de disponibilidade Brazil South do Azure (nuvem da Microsoft) para controlar as máquinas atingidas.

Leia também: Para sócio-líder da NTT Data, IA generativa tem trazido governança e qualidade de dados para ‘patamar adequado’

Apesar de a movimentação mais significativa do malware ter começado em fevereiro, a empresa suspeita de que o trojan esteja em desenvolvimento desde novembro de 2023. Houve expansão das atividades a partir de março de 2024.

CanavalHeist em ação

A infecção do “CarnavalHeist” começa com um e-mail (não-solicitado) com tema financeiro falso como isca. O usuário clicar em um link malicioso encurtado.

A partir do clique, o usuário é direcionado para o servidor responsável pela hospedagem da página web falsa. A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências uma nota fiscal eletrônica.

Após o clique, um comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário. Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”.

O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Tags:
CarnavalHeist
Cisco
Cisco Talos
Author Photo
Redação

A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.

Author Photo

Notícias relacionadas

Cibersegurança
IA: 96% das empresas planejam ou usam plataformas próprias
Cibersegurança
Vazamento em atendimento terceirizado da Adidas expõe dados de clientes no mundo todo
Cibersegurança
Ransomware 3AM usa máquinas virtuais para escapar de deteção de antivírus
Cibersegurança
Mercado de cibersegurança no Brasil deve ver aumento de fusões e aquisições em 2025
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.