A Cisco emitiu um alerta sobre um novo malware que tem como alvo contas bancárias de brasileiros, colocando em risco dados pessoais. Batizado de CarnavalHeist, essa ameaça se propaga por meio de e-mails fraudulentos que se passam por sistemas de emissão de nota fiscal, distribuindo arquivos maliciosos.
Características do CarnavalHeist
O alerta veio da divisão de inteligência de ameaças da Cisco, a Cisco Talos, após a identificação desse trojan bancário em fevereiro de 2024. No entanto, há indícios de que o desenvolvimento do malware tenha começado em novembro de 2023.
O relatório da Cisco Talos destaca que o CarnavalHeist é especificamente direcionado ao Brasil, utilizando gírias locais para identificar nomes de bancos. Além disso, o malware está hospedado na zona Brazil South do Microsoft Azure, facilitando o controle pelos cibercriminosos.
Método de distribuição
A estratégia de disseminação do CarnavalHeist envolve e-mails falsos, uma técnica familiar para muitos brasileiros. Esses e-mails informam que uma nota fiscal está disponível após uma compra ou contratação de serviço, um procedimento comum no Brasil. As campanhas de phishing utilizam links como “Visualizar Nota Fiscal”, que redirecionam a vítima para uma página falsa, onde o arquivo malicioso é baixado.
Disfarce dos e-mails falsos
Para tornar os e-mails fraudulentos mais convincentes, os cibercriminosos ocultam os endereços dos links com encurtadores de URL. Isso dificulta a identificação imediata de uma fraude, aumentando as chances de sucesso do ataque.
Como se proteger
Para proteger suas informações e evitar ser vítima do CarnavalHeist, considere as seguintes medidas:
- Verifique a fonte dos e-mails: Sempre confirme a legitimidade dos e-mails antes de clicar em qualquer link ou baixar arquivos anexados.
- Use softwares de segurança: Instale e mantenha atualizados softwares de segurança em seus dispositivos para detectar e bloquear ameaças.
- Desconfie de links encurtados: Links encurtados podem esconder URLs maliciosas. Sempre tenha cuidado ao clicar em links desconhecidos.
- Eduque-se sobre phishing: Aprenda a identificar e-mails de phishing e outros tipos de fraudes online.
Manter-se informado sobre as últimas ameaças e adotar boas práticas de segurança são passos essenciais para proteger suas finanças e dados pessoais. Fique atento aos alertas de segurança e sempre verifique a autenticidade das comunicações recebidas, especialmente aquelas que solicitam informações sensíveis ou instruem a baixar arquivos.
