Cisco Talos alerta para novo malware que invade contas bancárias no Brasil
Um estudo divulgado recentemente pela Cisco Talos – unidade de inteligência de ameaças da Cisco – fez um alerta sobre a descoberta de um novo malware bancário criado por cibercriminosos brasileiros para atacar usuários no País. Chamado de “CarnavalHeist”, o trojan é consegue infectar computadores para roubar dados pessoais e invadir contas bancárias.
A existência do malware começou a ser notada em fevereiro de 2024, diz a Cisco Talos. A empresa suspeitou que a origem do malware era brasileira por conta das táticas, técnicas e procedimentos comuns a outros trojans bancários no País – basicamente malwares disfarçados de programas legítimos.
Outro grande indício é o fato de que o CarnavalHeist usa gírias brasileiras para descrever nomes de bancos. Além disso, sua infraestrutura de comando usa a zona de disponibilidade Brazil South do Azure (nuvem da Microsoft) para controlar as máquinas atingidas.
Leia também: Para sócio-líder da NTT Data, IA generativa tem trazido governança e qualidade de dados para ‘patamar adequado’
Apesar de a movimentação mais significativa do malware ter começado em fevereiro, a empresa suspeita de que o trojan esteja em desenvolvimento desde novembro de 2023. Houve expansão das atividades a partir de março de 2024.
CanavalHeist em ação
A infecção do “CarnavalHeist” começa com um e-mail (não-solicitado) com tema financeiro falso como isca. O usuário clicar em um link malicioso encurtado.
A partir do clique, o usuário é direcionado para o servidor responsável pela hospedagem da página web falsa. A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências uma nota fiscal eletrônica.
Após o clique, um comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário. Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”.
O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
