Tendência

Novo malware bancário rouba dados pessoais e invade contas no Brasil

A infecção do “CarnavalHeist” começa com um e-mail (não solicitado) com tema financeiro falso como isca para fazer o usuário clicar em um link malicioso.

Um novo estudo realizado pela Cisco Talos, o braço de inteligência de ameaças da Cisco em nível global, alerta para a descoberta de um novo malware bancário criado por cibercriminosos brasileiros. Denominado como “CarnavalHeist”, este trojan bancário é destinado aos usuários do País e consegue infectar computadores com o objetivo de roubar dados pessoais e invadir contas bancárias.

A existência do malware começou a ser notada em fevereiro de 2024. A partir daí, a Cisco Talos passou a suspeitar que sua origem era por atores brasileiros, já que muitas das táticas, técnicas e procedimentos observados no “CarnavalHeist” são comuns em outros trojans bancários nacionais, que consistem em malwares disfarçados de programas reais.

Ao N10 Notícias, a Cisco Talos afirma que “os métodos empregados pelo CarnavalHeist são bastante sofisticados e mostram um entendimento profundo das particularidades do sistema bancário brasileiro”.

Indícios de origem brasileira

Outro grande indício de sua origem é o fato de que o alvo principal são os usuários do Brasil. O CarnavalHeist utiliza gírias brasileiras para descrever alguns nomes de bancos, o que demonstra um conhecimento detalhado do contexto local. Além disso, sua infraestrutura de comando usa exclusivamente a zona de disponibilidade Brazil South do Azure (plataforma de computação em nuvem executada pela Microsoft) para controlar as máquinas atingidas. Dessa forma, tem como alvo específico as instituições financeiras brasileiras.

ENTRE NO CANAL DO PORTAL N10 NO WHASTAPP

Apesar de a movimentação mais significativa do malware ter começado em fevereiro último, existe a suspeita de que o “CarnavalHeist” esteja em desenvolvimento ativo desde novembro de 2023, com base em amostras de telemetria. Assim, houve uma expansão das atividades a partir de março de 2024.

CarnavalHeist Novo malware bancário rouba dados pessoais e invade contas no Brasil.jpg

Como a infecção acontece

A infecção do “CarnavalHeist” começa com um e-mail (não solicitado) com tema financeiro falso como isca para fazer o usuário clicar em um link malicioso, que vem encurtado pelo serviço IS.GD. A seguir, alguns exemplos de URLs utilizadas (apenas exemplos abaixo):

Estratégia de engenharia social

Os cibercriminosos empregam engenharia social para enganar os usuários, utilizando e-mails que parecem legítimos, com logotipos e linguagem formal que simulam comunicações oficiais de bancos. A partir do clique nesses links, o usuário é direcionado para o servidor responsável pela hospedagem da página da web falsa.

CarnavalHeist Novo malware bancário rouba dados pessoais e invade contas no Brasil.jpg

A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências à Nota Fiscal Eletrônica. Após fazer o clique, esse comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário.

Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”. O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.

CarnavalHeist Novo malware bancário rouba dados pessoais e invade contas no Brasil.jpg

Impacto nas instituições financeiras

O “CarnavalHeist” representa uma ameaça significativa para as instituições financeiras brasileiras. Os cibercriminosos não apenas roubam dados pessoais, mas também exploram vulnerabilidades de segurança nos sistemas bancários. A Cisco Talos destaca que este malware é um exemplo claro da sofisticação crescente das ameaças cibernéticas no Brasil, onde os cibercriminosos estão cada vez mais habilidosos em desenvolver ferramentas complexas e eficazes.

Em comunicado, a Cisco Talos afirmou: “Estamos vendo um aumento na complexidade e na frequência de ataques cibernéticos direcionados a instituições financeiras no Brasil. O CarnavalHeist é um exemplo disso, e reforça a necessidade de medidas de segurança mais robustas por parte das organizações”.

Rafael Nicácio

Estudante de Jornalismo, conta com a experiência de ter atuado nas assessorias de comunicação do Governo do Estado do Rio Grande do Norte e da Universidade Federal (UFRN). Trabalha com administração e redação em sites desde 2013 e, atualmente, administra o Portal N10 e a página Dinastia Nerd. E-mail para contato: rafael@oportaln10.com.br

Deixe uma resposta

Botão Voltar ao topo
Fechar

Permita anúncios para apoiar nosso site

📢 Desative o bloqueador de anúncios ou permita os anúncios em nosso site para continuar acessando nosso conteúdo gratuitamente. Os anúncios são essenciais para mantermos o jornalismo de qualidade.