• Ataques Contra Boletos: Criatividade dos Cybercriminosos, Uso de Código Malicioso e Atividades de Malware

    Os cybercriminosos brasileiros criaram uma forma única de roubar dinheiro, fazendo modificação em "boletos", documentos bancários populares emitidos por bancos e todo o tipo de negócios no Brasil. Os boletos são, realmente, uma das maneiras mais populares para pagar as contas e comprar bens no Brasil - até mesmo as instituições governamentais passaram a usá-los - e eles são uma característica única do mercado brasileiro. Em uma série de ataques online visando falhas em dispositivos de rede - especialmente modems DSL - e envolvendo servidores DNS maliciosos, documentos falsos, injeções de código do navegador no estilo do SpyEye, extensões do navegador maliciosos e usando de muita criatividade, os cybercriminosos roubaram. com sucesso, vastas quantidades de dinheiro, mesmo de pessoas que não têm cartões de crédito ou contas bancárias na Internet. É uma nova preocupação para os bancos e instituições financeiras do país.


    Boleto Bancário: O Sistema de Pagamentos Brasileiro

    Boletos são uma forma muito popular e fácil de pagar contas, ou comprar bens no Brasil de hoje; até mesmo lojas on-line já aceitam esse tipo de pagamento. Tudo que você precisa fazer é imprimir o boleto e pagar. De acordo com dados do Banco Central do Brasil, 21% de todos os pagamentos no país em 2011 foram feitos utilizando boletos.






    Métodos de Pagamento Preferidos no Brasil em 2012: de acordo com a e-bit, de 18% de todas as transações de e-commerce realizadas no Brasil em 2012, foi utilizado o boleto bancário como o método de pagamento preferido.

    Como todo mundo já deve ter percebido, um boleto vem com uma data de validade. Antes dessa data, pode ser pago em caixas eletrônicos, agências e através do Internet Banking de qualquer banco, agências dos Correios, agentes de loteria e alguns supermercados até a sua data de vencimento. Após a data, o boleto só pode ser pago em uma agência do banco emissor. O cliente também paga uma taxa cobrada pelo banco; a taxa aumenta a cada dia que passa. Além disso, os bancos cobram uma taxa de manutenção para cada boleto pago por um cliente.

    Esta taxa varia de R$ 1,00 a R $ 12,00, dependendo do banco. Se houver um registro, em seguida, o banco também irá cobrar uma taxa para cada boleto emitido, independentemente de saber se foi pago ou não. Portanto, o que não foi registrado são mais adequados para realizar transações on-line.


    Taxas mais Baixas de Acordo com a Relação do Cliente com o Banco

    O banco também leva em conta o porte do cliente, de modo que um cliente com um maior volume de transações bancárias, que vem trabalhando com o banco por um tempo mais longo, é capaz de obter taxas mais baixas ou até isenção da taxa, o que tornou o boleto uma ferramenta muito importante de vendas grandes dentro de empresas, e-commerce e ligadas ao o governo. Se uma empresa quer fazer negócios no Brasil, é imprescindível a utilização de boletos - Apple, Dell, Skype, da Microsoft, DX.com, Alibaba.com, e até mesmo a FIFA durante a Copa do Mundo de 2014 usou boletos em operações locais.

    Abaixo, é possível visualizar a estrutura básica de um boleto impresso:





    - Banco Emissor: é a instituição financeira responsável pela emissão e cobrança do referido documento, com base em um acordo entre si e o comerciante. O banco, uma vez autorizado a recolher o pagamento para o comerciante, creditará o valor devido pelo cliente na conta bancária do comerciante.

    - Campo de Identificação: a representação numérica do código de barras, que contém todas as informações necessárias para identificar a conta bancária do comerciante e fazer um "clear" no pagamento. Este campo é usado em home banking e em auto-serviço bancário.

    - Código de barras: trata-se de um código composto por um grupo de barras impressas e variadamente estampadas (sempre 103 milímetros de comprimento e 13 milímetros de altura), com espaços e, às vezes numerais, que é projetado para ser digitalizado e lido por um scanner a laser digital, que contém informações para identificar o objeto.

    Para pagar um boleto diretamente no banco ou on-line é tudo o que é necessário para fazer a varredura do código de barras - se é ilegível (devido a uma má impressão), os usuários podem digitar o código de identificação de 44 número. Alguns bancos têm um scanner de código de barras em seus aplicativos móveis, para que os usuários de mBanking não precisem digitar no campo ID; eles podem pagar o boleto usando a câmera do seu dispositivo.


    Pagando um Boleto Usando um Scanner de Código de Barras

    Mas, o que poderia dar errado? Bem, o erro seria sobre a mudança do código de barras ou o campo ID? Isso é muito simples e os pagamentos poderiam ser redirecionados para outra conta. Isso é exatamente o que os fraudadores brasileiros começaram a fazer - e a maneira mais fácil e eficaz de fazer isso, era através da utilização de malware.


    Malware nos Boletos Bancários Brasileiros

    Um boleto pode ser gerado e impresso pela loja que está vendendo produtos para você, ou até mesmo pelos próprios usuários durante um processo de compra online. Ele é exibido no navegador, geralmente em modo HTML, utilizando bibliotecas livres disponíveis para desenvolvedores implementarem em seu software ERP ou no seu sistema de armazenamento online.

    A extensa documentação e software open source legítimos que são usados para gerar boletos, ajuda muito os desenvolvedores de malware para a criação de Trojans, que estão programados para alterar boletos localmente, assim que eles são gerados pelo computador ou pelo browser. Estes Trojans foram vistos na natureza, em abril de 2013 pelo LinhaDefensiva.com e ainda estão sendo distribuídos no Brasil até hoje. Na verdade, a maioria dos cybercriminosos brasileiros que usa os trojan bankers para roubar dinheiro está migrando seus ataques para atingir boletos, utilizando a mesma infra-estrutura.

    Algumas versões do malwarem usam uma injeção JavaScript para alterar o conteúdo do boleto:


    "CodBarras" significa código de barras em Português


    Algumas versões posteriores deste Trojan apareceram e começaram a mudar apenas os números no campo ID:


    "Linha Digitável" significa linha typeable em Português; é o número do campo ID


    Estas novas versões também utilizaram um elemento com extensão HTML, a fim de adicionar um espaço em branco para o código de barras, tornando-se ilegível. Isso força o cliente ou banco a digitar no campo ID os 44 dígitos adulterados para efetuar o pagamento do boleto. Para não levantar suspeitas, o cavalo de Tróia não muda o valor e nem a data de vencimento da transação. O campo ID inclui uma grande quantidade de informação, detalhando a conta bancária que receberá o pagamento e outros dados utilizados de acordo com as regras estabelecidas por cada banco. Os dados "Nosso Numero" ("Nosso Número ID") trata-se de um identificador único, diferente para cada boleto. Alterar o número de identificação é suficiente para redirecionar o pagamento para outra conta bancária.

    Como a maioria dos boletos agora são gerados em um navegador, o Trojan direcionado aos usuários do Internet Explorer instala um BHO pronto para se comunicar com o servidor de C & C e monitorar o tráfego, à procura de palavras como "boleto" e "Pagamento" (pagamento), a escolha do momento certo para injetar o código, e substituir o número de identificação armazenado em HTML por um novo, baixado a partir do C & C.

    Inicialmente a maioria destes BHOs teve uma taxa de detecção muito baixa, incorretamente sinalizadas como trojan banker pelos produtos antimalware normais (por exemplo, os hashes MD5s 23d418f0c23dc877df3f08f26f255bb5 e f089bf60aac48e24cd019edb4360d30d). Um exemplo de um request feito por esses BHOs, e uma resposta com um novo número de ID para ser injetado:

    Request: http://141.105.65.5/11111.11111%2011...1%201111111111
    Response: 03399.62086 86000.000009 00008.601049 7 00000000000000

    Além disso, foram encontrados também os painéis de controle altamente profissionais, utilizados pelos fraudadores para coletar dados de máquinas infectadas e registrar cada boleto, logo que ela é gerada. É a mesma infra-estrutura utilizada no desenvolvimento de trojans bankers, porque um boleto fraudulento é uma nova maneira de roubar dinheiro dos usuários.


    Painel de controle de um vilão para controlar máquinas infectadas


    Alguns dos painéis de comando e controle, oferecem uma série de detalhes para os cybercriminosos, como a data/hora, quando/se o boleto foi gerado/alterado, o campo ID e a substituição injetada pelo malware, o valor e a origem - onde o boleto foi gerado, se era local ou se foi através de um website.


    O Link Zeus: Payloads Criptografados

    As campanhas de "malware boleto" ou "bolware", combinaram vários novos truques para infectar e roubar mais usuários. Um dos mais recentes deles é o uso de um não-executável e payloads de malware criptografados XORed com uma chave de 32 bits, sendo comprimido por ZLIB, usando as extensões .BCK, .JMP, .MOD e outras afins.


    Arquivo criptografado .JMP baixado pelo malware boleto


    Não é nenhuma coincidência que a mesma técnica tenha sido usada pelo ZeuS GameOver. Os pesquisadores da Kaspersky tem provas de que os cybercriminosos brasileiros colaboraram com as gangues da Europa Ocidental envolvidos com Zeus e suas variantes; portanto, não é raro encontrá-los em fóruns clandestinos à procura de amostras, a compra de novos kits de crimeware e ATM malware/pos. Os primeiros resultados desta cooperação, podem ser vistos no desenvolvimento de novos ataques como o direcionamento de pagamentos de boletos no Brasil.


    Saiba Mais:

    [1] Secure List http://securelist.com/analysis/publi...ainst-boletos/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L