CarnavalHeist: el dinero de los ciudadanos brasileños desaparece a través de Microsoft Word

Los cibercriminales están utilizando cada vez más documentos de Word para lanzar ataques debido a su amplia difusión y la confianza de los usuarios. Esto se debe a la facilidad con la que se puede engañar a las personas para que abran estos archivos.

Los documentos maliciosos pueden contener macros o vulnerabilidades que activan la ejecución de código malicioso en la computadora de la víctima. Esto permite a los atacantes robar datos, instalar software malicioso o incluso obtener acceso remoto al sistema.

Recientemente, los investigadores de ciberseguridad de Cisco Talos descubrieron que un malware llamado «CarnavalHeist» está utilizando activamente documentos de Word para robar credenciales.

Según los expertos, CarnavalHeist está enfocado principalmente en usuarios brasileños. Esto se evidencia por el uso exclusivo del portugués y la jerga brasileña, así como la infraestructura de C2, ubicada en la región BrazilSouth de la plataforma de hosting de Microsoft Azure. Los principales objetivos del ataque son las principales instituciones financieras del país.

A pesar de que las primeras muestras de CarnavalHeist aparecieron en VirusTotal a finales de 2023, el desarrollo de la campaña continúa hasta ahora. En mayo de 2024, los especialistas de Talos continúan identificando nuevas muestras de este malware.

El malware se distribuye a través de correos electrónicos con el asunto «factura». Los usuarios reciben correos con URLs acortadas que los redireccionan a sitios falsos con facturas. Desde estos sitios, se descarga un archivo malicioso de tipo LNK a través de WebDAV, que inicia la siguiente etapa del ataque.

El ataque utiliza ampliamente términos en portugués, como «Nota Fiscal Eletrônica» (factura electrónica), para aumentar la confianza de los usuarios brasileños. El malware utiliza técnicas engañosas, como mostrar un documento PDF falso, mientras que el código malicioso se ejecuta en segundo plano.

CarnavalHeist utiliza scripts Python ocultos, genera dinámicamente dominios y DLLs maliciosas para descargar un troyano bancario. El troyano ataca a instituciones financieras brasileñas, realizando ataques de superposición, captura credenciales, capturas de pantalla y video, y también proporciona acceso remoto. Una de las capacidades del troyano también es generar códigos QR para robar transacciones.

Los investigadores de Cisco informaron que CarnavalHeist utiliza un algoritmo de generación de dominios (DGA) que crea dinámicamente subdominios en la región de Azure BrazilSouth para descargar malware y comunicarse con el servidor de comando y control.

Las pruebas identificadas por los expertos indican que la campaña de CarnavalHeist puede haber estado activa desde noviembre de 2023, aunque la actividad más intensa comenzó en febrero de este año.