Novo malware bancário rouba dados pessoais e invade contas no Brasil

Um novo estudo realizado pela Cisco Talos, o braço de inteligência de ameaças da Cisco em nível global, alerta para a descoberta de um novo malware bancário criado por cibercriminosos brasileiros. Denominado como “CarnavalHeist”, este trojan bancário é destinado aos usuários do País e consegue infectar computadores com o objetivo de roubar dados pessoais e invadir contas bancárias.

A existência do malware começou a ser notada em fevereiro de 2024. A partir daí, a Cisco Talos passou a suspeitar que sua origem era por atores brasileiros, já que muitas das táticas, técnicas e procedimentos observados no “CarnavalHeist” são comuns em outros trojans bancários nacionais, que consistem em malwares disfarçados de programas reais.

Ao N10 Notícias, a Cisco Talos afirma que “os métodos empregados pelo CarnavalHeist são bastante sofisticados e mostram um entendimento profundo das particularidades do sistema bancário brasileiro”.

Indícios de origem brasileira

Outro grande indício de sua origem é o fato de que o alvo principal são os usuários do Brasil. O CarnavalHeist utiliza gírias brasileiras para descrever alguns nomes de bancos, o que demonstra um conhecimento detalhado do contexto local. Além disso, sua infraestrutura de comando usa exclusivamente a zona de disponibilidade Brazil South do Azure (plataforma de computação em nuvem executada pela Microsoft) para controlar as máquinas atingidas. Dessa forma, tem como alvo específico as instituições financeiras brasileiras.

Apesar de a movimentação mais significativa do malware ter começado em fevereiro último, existe a suspeita de que o “CarnavalHeist” esteja em desenvolvimento ativo desde novembro de 2023, com base em amostras de telemetria. Assim, houve uma expansão das atividades a partir de março de 2024.

Como a infecção acontece

A infecção do “CarnavalHeist” começa com um e-mail (não solicitado) com tema financeiro falso como isca para fazer o usuário clicar em um link malicioso, que vem encurtado pelo serviço IS.GD. A seguir, alguns exemplos de URLs utilizadas (apenas exemplos abaixo):

• https://is[.]gd/38qeon?0177551.5510
• https://is[.]gd/ROnj3W?0808482.5176
• https://is[.]gd/a4dpQP?000324780473.85375532000

Estratégia de engenharia social

Os cibercriminosos empregam engenharia social para enganar os usuários, utilizando e-mails que parecem legítimos, com logotipos e linguagem formal que simulam comunicações oficiais de bancos. A partir do clique nesses links, o usuário é direcionado para o servidor responsável pela hospedagem da página da web falsa.

A Cisco Talos observou diferentes domínios usados nessa etapa de infecção, mas todos têm referências à Nota Fiscal Eletrônica. Após fazer o clique, esse comando baixa um arquivo que executa o próximo estágio da infecção e tenta esconder a execução do malware do usuário.

Primeiro, o texto “visualização indisponível” é gravado em arquivo “NotaFiscal.pdf” no diretório “Downloads”. O PDF é aberto para visualização para levar a pessoa a pensar que o mesmo foi baixado. Paralelamente, outro processo de instalação de programa é iniciado de forma minimizada e, assim, o componente malicioso é executado.

Impacto nas instituições financeiras

O “CarnavalHeist” representa uma ameaça significativa para as instituições financeiras brasileiras. Os cibercriminosos não apenas roubam dados pessoais, mas também exploram vulnerabilidades de segurança nos sistemas bancários. A Cisco Talos destaca que este malware é um exemplo claro da sofisticação crescente das ameaças cibernéticas no Brasil, onde os cibercriminosos estão cada vez mais habilidosos em desenvolver ferramentas complexas e eficazes.

Em comunicado, a Cisco Talos afirmou: “Estamos vendo um aumento na complexidade e na frequência de ataques cibernéticos direcionados a instituições financeiras no Brasil. O CarnavalHeist é um exemplo disso, e reforça a necessidade de medidas de segurança mais robustas por parte das organizações”.