CarnavalHeist распространяет угрозы через фальшивые документы в Бразилии

06.06.2024

Команда исследователей из Cisco Talos выявила новую форму кибератаки, направленной на бразильские финансовые учреждения. Атака, получившая название CarnavalHeist, использует замаскированные под деловые документы файлы Word для внедрения вредоносного ПО в системы пользователей.

Злоумышленники ориентируют свои действия на бразильскую аудиторию, применяя в текстах писем и документов португальский язык и местный сленг. Это значительно повышает шансы на то, что пользователь без подозрений откроет и активирует вредоносное содержимое.

Методы CarnavalHeist особенно опасны из-за их способности маскироваться под обыденные операции, такие как пересылка счетов-фактур. После перехода по предоставленной в письме ссылке пользователь попадает на поддельный сайт, где предлагается скачать файл, якобы содержащий необходимые документы. Однако в действительности этот файл активирует скрытые Python-скрипты, которые запускают дальнейшие этапы атаки.

Основные действия вредоносного ПО включают кражу учетных данных, выполнение скриншотов и видеозаписей действий пользователей, а также установку дополнительных шпионских программ. К тому же, CarnavalHeist обладает функцией генерации QR-кодов, что позволяет злоумышленникам перехватывать транзакции и перенаправлять финансовые потоки на свои счета.

Для управления и координации атаки используется сложный алгоритм генерации доменов (DGA), создающий поддомены в районе Azure BrazilSouth. Это усложняет задачу обнаружения и блокировки вредоносных серверов, что подчеркивает необходимость повышенной бдительности и усиления мер безопасности со стороны бразильских банков и других финансовых институтов.