Novo malware bancário rouba dados pessoais no Brasil, alerta levantamento

O alerta é feito pela Cisco Talos. Estudo feito pela empresa destaca que a existência desse ataque começou a ser notada neste ano e um grande indício é de que o malware inclui gírias do Brasil para descrever alguns nomes e bancos

Compartilhar:

Um novo estudo realizado pela Cisco Talos – braço de inteligência de ameaças da Cisco ao nível global – alerta para a descoberta de um novo malware bancário, criado por cibercriminosos brasileiros. Denominado como “CarnavalHeist”, o trojan bancário é destinado aos usuários do País e consegue infectar computadores com objetivo de roubar dados pessoais e invadir contas bancárias.

 

A existência do malware começou a ser notada em fevereiro de 2024. A partir daí, a Cisco Talos passou a suspeitar que sua origem era por atores brasileiros já que muitas das táticas, técnicas e procedimentos observados no “CarnavalHeist” são comuns em outros trojans bancários nacionais, que consistem em malwares disfarçados de programas reais.

 

Outro grande indício de sua origem é que o alvo principal são os usuários do Brasil, pois o CarnavalHeist utiliza malware, incluindo gírias brasileiras para descrever alguns nomes de bancos.

 

Além disso, sua infraestrutura de comando usa exclusivamente a zona de disponibilidade Brazil South do Azure (plataforma de computação em nuvem executada pela Microsoft) para controlar as máquinas atingidas. Dessa forma, tem como alvo específico as instituições financeiras brasileiras.

 

Apesar de a movimentação mais significativa do malware ter começado em fevereiro último, existe a suspeita de que o “CarnavalHeist” esteja em desenvolvimento ativo desde novembro de 2023, com base em amostras de telemetria. Assim, houve uma expansão das atividades a partir de março de 2024.

 

Como a infecção acontece

A infecção do “CarnavalHeist” começa com um e-mail (não-solicitado) com tema financeiro falso como isca para fazer o usuário clicar em um link malicioso, que vem encurtado pelo serviço IS.GD.

 

Referências à Nota Fiscal Eletrônica

A partir do clique nesses links, o usuário é direcionado para o servidor responsável pela hospedagem da página da web falsa. A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências a Nota Fiscal Eletrônica.

 

Após fazer o clique, esse comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário. Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”.

 

O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...
Security Report | Overview

Disparo falso da Defesa Civil: O que incidente representa de risco de credenciais roubadas

Uso de acessos legítimos respondeu por 25% dos vetores de entrada em ataques globais investigados pela empresa; especialistas explicam como...
Security Report | Overview

CNCiber lança modelo para avaliar maturidade de SI nacional 

Desenvolvido pelo Comitê Nacional de Cibersegurança, o modelo CIMBRA medirá a resiliência digital do país nas vertentes nacional e institucional,...
Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...