CarnavalHeist: деньги бразильских граждан утекают прямо через Microsoft Word

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Скрытые Python-скрипты и фальшивые накладные не оставляют шанса потенциальным жертвам.

Киберпреступники всё чаще используют документы Word для атак из-за их широкого распространения и доверия пользователей. Это объясняется лёгкостью, с которой можно обмануть людей, заставив их открыть такие файлы.

Вредоносные документы могут содержать макросы или уязвимости, которые активируют выполнение вредоносного кода на компьютере жертвы. Это позволяет злоумышленникам красть данные, устанавливать вредоносное ПО или даже получать удалённый доступ к системе.

Недавно исследователи по кибербезопасности из Cisco Talos обнаружили, что вредоносное ПО под названием «CarnavalHeist» («карнавальное ограбление») активно использует документы Word для кражи учётных данных.

По данным экспертов, CarnavalHeist нацелен в первую очередь на бразильских пользователей. Об этом свидетельствует использование исключительно португальского языка и бразильского сленга, а также C2-инфраструктуры, расположенной в регионе BrazilSouth хостинг-площадки Microsoft Azure. Основные цели атаки — ведущие финансовые учреждения страны.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Несмотря на то, что первые образцы CarnavalHeist появились на VirusTotal в конце 2023 года, развитие кампании продолжается до сих пор. В мае 2024 года специалисты из Talos продолжают выявлять новые образцы данного вредоноса.

Вредоносное ПО распространяется через электронные письма с темой «счёт-фактура». Пользователи получают письма с сокращёнными URL, которые перенаправляют их на фальшивые сайты с накладными. С этих сайтов загружается вредоносный файл-ярлык в формате LNK через WebDAV, который запускает следующий этап атаки.

Атака широко использует португальские термины, такие как «Nota Fiscal Eletrônica» (электронная накладная), чтобы повысить доверие бразильских пользователей. Вредоносное ПО использует обманные техники, например, отображает ложный PDF-документ, в то время как на фоне выполняется вредоносный код.

  НАТО в цифровой броне: 5-я статья теперь против кибератак

CarnavalHeist использует скрытые скрипты Python, динамически генерируемые домены и зловредные DLL для загрузки банковского трояна. Троян атакует бразильские финансовые учреждения, выполняя оверлейные атаки, захватывает учётные данные, скриншоты и видео, а также обеспечивает удалённый доступ. Одной из возможностей трояна также является генерация QR-кодов для кражи транзакций.

Исследователи Cisco сообщили, что CarnavalHeist использует алгоритм генерации доменов (DGA), который динамически создаёт поддомены в регионе Azure BrazilSouth для загрузки вредоносных программ и коммуникаций с командным сервером.

Выявленные специалистами доказательства указывают на то, что кампания CarnavalHeist может быть активна с ноября 2023 года, однако наиболее интенсивная активность началась только в феврале этого года.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий