Um levantamento recente da Cisco Talos, braço de inteligência de ameaças da Cisco, revelou a existência de um novo malware bancário denominado “CarnavalHeist”. Desenvolvido por cibercriminosos brasileiros, este trojan visa usuários no Brasil, infectando computadores para roubar dados pessoais e invadir contas bancárias.
A detecção inicial do “CarnavalHeist” ocorreu em fevereiro de 2024. Desde então, a Cisco Talos suspeita que o malware tenha origem brasileira devido às táticas, técnicas e procedimentos observados, comuns em outros trojans bancários nacionais.
Características do CarnavalHeist
O foco principal do “CarnavalHeist” são os usuários brasileiros, utilizando gírias locais para descrever nomes de bancos. Além disso, a infraestrutura de comando e controle do malware usa exclusivamente a zona de disponibilidade Brazil South do Azure, plataforma de computação em nuvem da Microsoft, visando instituições financeiras brasileiras.
Apesar de a atividade significativa do malware ter começado em fevereiro, há indícios de que o “CarnavalHeist” esteja em desenvolvimento ativo desde novembro de 2023, com uma expansão notável das atividades a partir de março de 2024.
A infecção pelo “CarnavalHeist” inicia-se com um e-mail não solicitado contendo um tema financeiro falso, que serve de isca para que o usuário clique em um link malicioso, encurtado pelo serviço IS.GD. Exemplos de URLs utilizadas incluem:
- https://is[.]gd/38qeon?0177551.5510
- https://is[.]gd/ROnj3W?0808482.5176
- https://is[.]gd/a4dpQP?000324780473.85375532000
Processo de infecção
Ao clicar nesses links, o usuário é redirecionado para um servidor que hospeda uma página web falsa. A Cisco Talos observou que os domínios usados nesta etapa fazem referência à Nota Fiscal Eletrônica. Após o clique, um arquivo é baixado e executa o próximo estágio da infecção, ocultando a execução do malware. O texto “visualização indisponível” é gravado em um arquivo “NotaFiscal.pdf” no diretório “Downloads”, abrindo o PDF para simular um download legítimo enquanto outro processo de instalação minimizado executa o componente malicioso.
Para mais informações sobre o “CarnavalHeist”, acesse o blog da Cisco Talos aqui.
