A Cisco Talos revelou um novo malware bancário denominado “CarnavalHeist”, criado por cibercriminosos brasileiros para infectar computadores e roubar dados pessoais de usuários e instituições financeiras nacionais.
O CarnavalHeist foi identificado em fevereiro de 2024, quando a Cisco detectou atividades suspeitas geralmente associadas a outros malwares brasileiros. Outro indício da nacionalidade da ameaça eram as gírias brasileiras usadas para descrever os nomes de bancos.
Embora o software malicioso tenha sido identificado em fevereiro deste ano e se expandido em março, suspeita-se que sua operação esteja ativa desde novembro de 2023.
A Cisco Talos explica que a infecção pelo CarnavalHeist começa com um e-mail de tema financeiro que manipula o usuário a clicar em um link malicioso. Um exemplo pode ser conferido na imagem abaixo, onde a comunicação se passa pelo envio de uma nota fiscal.
Alguns links utilizados na campanha de infecção do malware incluem:
- https://is[.]gd/38qeon?0177551.5510
- https://is[.]gd/ROnj3W?0808482.5176
- https://is[.]gd/a4dpQP?000324780473.85375532000
Após clicar nesses links, os usuários são direcionados para uma falsa página da web de hospedagem da nota fiscal. Nesta página, os cibercriminosos permitem a visualização da nota, mas para verificá-la é necessário fazer o download de um arquivo “NotaFiscal.pdf”.
A falsa nota fiscal é aberta, porém, paralelamente, é iniciado o processo de instalação de um software que contém o malware.
Em uma postagem no blog, a Cisco menciona que a investigação da equipe conseguiu identificar amostras dos arquivos dessas URLs que apresentam indícios sobre os possíveis autores da operação do CarnavalHeist. Essas evidências incluem o nome completo e o endereço de e-mail da pessoa que registrou o domínio das URLs que hospedavam o arquivo malicioso.
FIQUE POR DENTRO!
