CarnavalHeist: парите на бразилските граждани изтичат директно през Microsoft Word
Скритите скриптове на Python и подправените фактури не оставят никакъв късмет на евентуалните жертви.
Киберпрестъпниците все по-често употребяват документи на Word за офанзиви заради необятното им разпространяване и доверието на потребителите. Това се дължи на лекотата, с която хората могат да бъдат подмамени да отворят такива файлове.
Злонамерените документи могат да съдържат макроси или уязвимости, които задействат осъществяването на злотворен код на компютъра на жертвата. Това разрешава на нападателите да откраднат данни, да конфигурират злотворен програмен продукт и даже да получат далечен достъп до системата.
Неотдавна откриватели по киберсигурност от Cisco Talos откриха, че зловредният програмен продукт, наименуван „ CarnavalHeist “ („ карнавален грабеж “), интензивно употребява Word документите за кражба на идентификационни данни.
Според специалистите CarnavalHeist е ориентиран най-вече към бразилските консуматори. За това свидетелства потреблението извънредно на португалския език и бразилския диалект, както и инфраструктурата C2, ситуирана в района BrazilSouth на хостинг платформата Azure на Microsoft. Основните цели на офанзивата са водещите финансови институции в страната.
Въпреки че първите проби на CarnavalHeist се появяват във VirusTotal в края на 2023 година, развиването на акцията към момента продължава. През месец май 2024 година специалистите от Talos не престават да разпознават нови мостри на този злотворен програмен продукт.
Зловредният програмен продукт се популяризира посредством имейли с тематика „ invoice “ (фактура). Потребителите получават имейли със съкратени URL адреси, които ги пренасочват към уеб сайтове с подправени фактури. От тези уеб сайтове посредством WebDAV се изтегля злотворен файл с пай път във формат LNK, който започва идващия стадий на офанзивата.
Атаката необятно употребява португалски термини като „ Nota Fiscal Eletrônica “ (електронна товарителница), с цел да увеличи доверието на бразилските консуматори. Зловредният програмен продукт употребява лъжливи техники, като да вземем за пример проявление на подправен PDF документ, до момента в който във фонов режим се извършва злотворен код.
CarnavalHeist употребява скрити Python скриптове, динамично генерирани домейни и злонамерени DLL файлове, с цел да изтегли банковия троянец. Троянецът нападна бразилските финансови институции, като прави овърлей офанзиви, прихваща идентификационни данни, екранни фотоси и видеоклипове и обезпечава далечен достъп. Една от опциите на троянеца е и да генерира QR кодове за кражба на преводи.
Изследователите на Cisco оповестяват, че CarnavalHeist употребява логаритъм за генериране на домейни (DGA), който динамично основава поддомейни в района Azure BrazilSouth за евакуиране на злотворен програмен продукт и връзка със сървъра за командване и ръководство.
Откритите от специалистите доказателства демонстрират, че акцията CarnavalHeist може да е дейна от ноември 2023 година, само че най-интензивната активност е почнала едвам през февруари тази година. Наистина рисков малуер, който се надяваме, че някоя от неговите вариации няма да се появи и про нас.
