Contas bancárias estão sendo hackeadas no Brasil por esse vírus perigoso
A Cisco Talos, divisão de inteligência de ameaças da Cisco, divulgou a descoberta de um novo malware bancário denominado “CarnavalHeist”. Desenvolvido por cibercriminosos brasileiros, o trojan tem como alvo os usuários do Brasil e visa roubar dados pessoais e acessar contas bancárias.
Detectado pela primeira vez em fevereiro de 2024, o CarnavalHeist apresenta características comuns a outros trojans bancários nacionais. Essas táticas incluem a camuflagem do malware como programas legítimos.
A utilização de gírias brasileiras para descrever nomes de bancos e a exclusividade da infraestrutura de comando na zona Brazil South do Azure são fortes indícios de sua origem brasileira.
Embora tenha ganhado notoriedade recentemente, evidências sugerem que o CarnavalHeist estava em desenvolvimento desde novembro de 2023, com um aumento significativo das atividades em março de 2024.
Método de infecção
O processo de infecção do CarnavalHeist começa com um e-mail não solicitado, que utiliza um tema financeiro falso para enganar o usuário e induzi-lo a clicar em um link malicioso encurtado pelo serviço IS.GD. Exemplos de URLs utilizados incluem:
- https://is[.]gd/38qeon?0177551.5510
- https://is[.]gd/ROnj3W?0808482.5176
- https://is[.]gd/a4dpQP?000324780473.85375532000
Referências à nota fiscal eletrônica
Ao clicar no link, o usuário é redirecionado para um servidor que hospeda uma página web falsa. A Cisco Talos identificou vários domínios usados nessa fase da infecção, todos fazendo referência à Nota Fiscal Eletrônica.
O comando baixa um arquivo que inicia o próximo estágio da infecção, disfarçando a execução do malware. Primeiro, o texto “visualização indisponível” é gravado em um arquivo “NotaFiscal.pdf” no diretório “Downloads”.
O PDF é aberto para dar a impressão de que foi baixado corretamente, enquanto um processo de instalação de programa é iniciado em segundo plano, executando o componente malicioso sem que o usuário perceba.
