Microsoft Word используется для кражи данных бразильских пользователей
06/06/24
Киберпреступники всё чаще используют документы Word для атак из-за их широкого распространения и доверия пользователей. Это объясняется лёгкостью, с которой можно обмануть людей, заставив их открыть такие файлы.
Вредоносные документы могут содержать макросы или уязвимости, которые активируют выполнение вредоносного кода на компьютере жертвы. Это позволяет злоумышленникам красть данные, устанавливать вредоносное ПО или даже получать удалённый доступ к системе, согласно Securitylab.
Недавно исследователи по кибербезопасности из Cisco Talos обнаружили, что вредоносное ПО под названием «CarnavalHeist» («карнавальное ограбление») активно использует документы Word для кражи учётных данных.
По данным экспертов, CarnavalHeist нацелен в первую очередь на бразильских пользователей. Об этом свидетельствует использование исключительно португальского языка и бразильского сленга, а также C2-инфраструктуры, расположенной в регионе BrazilSouth хостинг-площадки Microsoft Azure. Основные цели атаки — ведущие финансовые учреждения страны.
Несмотря на то, что первые образцы CarnavalHeist появились на VirusTotal в конце 2023 года, развитие кампании продолжается до сих пор. В мае 2024 года специалисты из Talos продолжают выявлять новые образцы данного вредоноса.
Вредоносное ПО распространяется через электронные письма с темой «счёт-фактура». Пользователи получают письма с сокращёнными URL, которые перенаправляют их на фальшивые сайты с накладными. С этих сайтов загружается вредоносный файл-ярлык в формате LNK через WebDAV, который запускает следующий этап атаки.
Атака широко использует португальские термины, такие как «Nota Fiscal Eletrônica» (электронная накладная), чтобы повысить доверие бразильских пользователей. Вредоносное ПО использует обманные техники, например, отображает ложный PDF-документ, в то время как на фоне выполняется вредоносный код.
CarnavalHeist использует скрытые скрипты Python, динамически генерируемые домены и зловредные DLL для загрузки банковского трояна. Троян атакует бразильские финансовые учреждения, выполняя оверлейные атаки, захватывает учётные данные, скриншоты и видео, а также обеспечивает удалённый доступ. Одной из возможностей трояна также является генерация QR-кодов для кражи транзакций.
Исследователи Cisco сообщили, что CarnavalHeist использует алгоритм генерации доменов (DGA), который динамически создаёт поддомены в регионе Azure BrazilSouth для загрузки вредоносных программ и коммуникаций с командным сервером.
Выявленные специалистами доказательства указывают на то, что кампания CarnavalHeist может быть активна с ноября 2023 года, однако наиболее интенсивная активность началась только в феврале этого года.