CarnavalHeist распространяет угрозы через фальшивые документы в Бразилии

Команда исследователей из Cisco Talos выявила новую форму кибератаки, направленной на бразильские финансовые учреждения. Атака, получившая название CarnavalHeist, использует замаскированные под деловые документы файлы Word для внедрения вредоносного ПО в системы пользователей.

Злоумышленники ориентируют свои действия на бразильскую аудиторию, применяя в текстах писем и документов португальский язык и местный сленг. Это значительно повышает шансы на то, что пользователь без подозрений откроет и активирует вредоносное содержимое.

Методы CarnavalHeist особенно опасны из-за их способности маскироваться под обыденные операции, такие как пересылка счетов-фактур. После перехода по предоставленной в письме ссылке пользователь попадает на поддельный сайт, где предлагается скачать файл, якобы содержащий необходимые документы. Однако в действительности этот файл активирует скрытые Python-скрипты, которые запускают дальнейшие этапы атаки.

Основные действия вредоносного ПО включают кражу учетных данных, выполнение скриншотов и видеозаписей действий пользователей, а также установку дополнительных шпионских программ. К тому же, CarnavalHeist обладает функцией генерации QR-кодов, что позволяет злоумышленникам перехватывать транзакции и перенаправлять финансовые потоки на свои счета.

Для управления и координации атаки используется сложный алгоритм генерации доменов (DGA), создающий поддомены в районе Azure BrazilSouth. Это усложняет задачу обнаружения и блокировки вредоносных серверов, что подчеркивает необходимость повышенной бдительности и усиления мер безопасности со стороны бразильских банков и других финансовых институтов.