详细内容或原文请订阅后点击阅览
CarnavalHeist:巴西公民的资金直接通过 Microsoft Word 流动
使用 Python 脚本和 JavaScript 来编写自定义样式。
来源:安全实验室新闻频道隐藏的 Python 脚本和虚假发票不会给潜在受害者留下任何机会。
由于 Word 文档的广泛分布和用户信任,网络犯罪分子越来越多地使用 Word 文档进行攻击。这是因为人们很容易被诱骗打开此类文件。
恶意文档可能包含允许在受害者计算机上执行恶意代码的宏或漏洞。这使得攻击者能够窃取数据、安装恶意软件,甚至远程访问系统。
Cisco Talos 的网络安全研究人员最近发现,名为“CarnavalHeist”的恶意软件正在积极使用 Word 文档窃取凭据。
思科 Talos 已找到,据专家介绍,CarnavalHeist 主要针对巴西用户。仅使用葡萄牙语和巴西俚语以及位于 Microsoft Azure 托管平台巴西南部地区的 C2 基础设施就证明了这一点。攻击的主要目标是该国的主要金融机构。
C2尽管 CarnavalHeist 的第一个样本于 2023 年底出现在 VirusTotal 上,但该活动的开发仍在继续。 2024 年 5 月,Talos 的专家继续识别该恶意软件的新样本。
恶意软件通过主题行为“发票”的电子邮件进行传播。用户会收到带有缩短 URL 的电子邮件,这些电子邮件会将他们重定向到虚假发票网站。通过 WebDAV 从这些站点下载 LNK 格式的恶意快捷方式文件,从而启动下一阶段的攻击。
这次攻击大量使用了“Nota Fiscal Eletrônica”(电子运单)等葡萄牙语术语,以增加巴西用户的信任。该恶意软件使用欺骗技术,例如在后台执行恶意代码时显示虚假 PDF 文档。