O Brasil tornou-se alvo de uma série de famílias de malware que emergiram nos últimos anos para aproveitar-se de um sistema de pagamentos utilizado apenas no país. O alvo desses ataques é o sistema de pagamentos Boleto e, ainda que seja único no Brasil, os retornos estimados são equivalentes a milhões de dólares americanos.
A ascensão do malware do Boleto (ou Bolware) reflete a tendência crescente de localização do cibercrime. Os ataques não se concentram mais apenas nos alvos maiores e algumas novas ameaças visam mercados muito específicos. Por exemplo, no México, o Backdoor.Ploutus e suas variações foram utilizados para roubar dinheiro diretamente dos caixas eletrônicos do país. No Oriente Médio grupos de atacantes começaram a usar um malware simples, conhecido como njRAT. Ainda que funcione como muitas outras ferramentas de acesso remoto (RATs), o njRAT é popular na região porque foi desenvolvido e recebe suporte por pessoas que falam árabe.
Estes ataques são diferentes dos ataques do Boleto, mas podem mostrar o caminho que os atacantes seguiram para chegar ao Bolware.
O que é um Boleto?
Boleto (ou Boleto Bancário) é um popular sistema de pagamentos único do Brasil. Um Boleto é semelhante a uma nota fiscal, e pode ser utilizado para pagar quem quer que tenha emitido o documento (incluindo empresas e pessoas físicas). Eles são regulamentados pela Federação Brasileira de Bancos (FEBRABAN) e oferecem um sistema acessível de pagamento. Qualquer pessoa com uma conta bancária pode emitir um, e não é necessário possuir uma conta bancária para pagar.
Cada Boleto traz o nome do banco emissor, a quem o pagamento é devido, o valor devido, a data de vencimento, um número de identificação único, e um código de barras. O número de identificação e o código de barras contêm todas as informações relevantes de pagamento, tornando os Boletos fáceis de pagar, seja inserindo o número de identificação ou fazendo a leitura do código de barras. Quando os Boletos começaram a ser emitidos (em 1993), eram utilizados apenas no formato de papel, mas hoje são frequentemente emitidos eletronicamente e podem ser pagos online, usando o número de identificação ou o código de barras.
Figura 1. Há diversas formas de se pagar um Boleto, como no banco, online ou através de um aparelho móvel.
Mesmo antes que os Boletos fossem emitidos eletronicamente, as pessoas começar a criar Boletos fraudulentos para roubar dinheiro das vítimas. Com a chegada dos Boletos eletrônicos, os atacantes ficaram mais ousados e começaram a criar golpes mais sofisticados e, por fim, chegaram ao malware voltado aos usuários de Boleto.
Como funciona o malware do Boleto?
Existem três famílias principais do malware Boleto, Trojan.Eupuds, Infostealer.Boleteiro, e Infostealer.Domingo e, ainda que sejam diferentes entre si, o objetivo principal é o mesmo. Conforme foi descrito em um novo estudo da Symantec [INSERIR LINK], o malware Boleto busca interceptar e manipular Boletos legítimos para que o dinheiro de um Boleto seja enviado aos atacantes ao invés do destinatário original. As diversas famílias do malware Boleto podem chegar ao computador comprometido através de campanhas de spam ou sequestro de DNS.
Figura 2. Malware Boleto altera os números de identificação e códigos de barras legítimos para redirecionar os pagamentos para contas controladas pelos atacantes
Eupuds, Boleteiro, e Domingo são capazes de sequestrar o navegador de internet da vítima e detectar se um Boleto for exibido. Uma vez que um Boleto seja detectado, o malware altera o número de identificação ou o código de barras do Boleto em si, para que a vítima não pague o destinatário original do dinheiro, mas mande o valor para os atacantes. Em todos os casos, o malware altera o número de identificação do Boleto para direcionar o pagamento para uma conta controlada pelos atacantes. Essa tática pode ser usada em conjunto com a manipulação do código de barras. Às vezes o malware substitui o código de barras com outro igual ao número de identificação fornecido pelo atacante, e em outros casos o malware torna o código de barras ilegível, o que força a vítima a efetuar o pagamento inserindo o número de identificação fornecido pelo atacante.
Os vários tipos de malware Boleto utilizam uma série de táticas diferentes para sequestrar o navegador de internet da vítima, como ataques Man-in-the-Browser (MITB), Browser Helper Objects (BHOs) maliciosos, extensões maliciosas do Chrome e manipulações do Document Object Model (DOM) no Internet Explorer.
O Infostealer.Domingo também é capaz de alterar as informações em Boletos salvos em um computador comprometido. O malware pode verificar os discos do computador comprometido em busca de Boletos salvos. Se um Boleto salvo é encontrado, Domingo altera o número de identificação e o código de barras.
A manipulação do Boleto em si não é a única forma de ataque disponível para quem utiliza as famílias de malware Boleto para roubar dinheiro. O Trojan.Eupuds pode interceptar pagamentos efetuados através dos serviços de online banking de um banco brasileiro. Esse malware pode monitorar o tráfego no navegador e reconhecer quando o número de identificação de um Boleto é digitado pela vítima. Eupuds pode então alterar o número de identificação para que o dinheiro do Boleto seja enviado ao atacante ao invés do destinatário da identificação inserida pelo usuário.
O malware Boleto pode fazer mais alguma coisa?
Algumas famílias do malware Boleto podem ser capazes de realizar outros ataques em um computador comprometido. O Infostealer.Boleteiro pode roubar as credenciais de online banking e de e-mail do computador comprometido. Pode então usar essas informações para acessar as contas da vítima e roubar dinheiro ou informações. Além dessas credenciais, Boleteiro e Eupuds são capazes de roubar informações de login do live.com da Microsoft.
Mitigação
Para evitar ser comprometido pelo malware Boleto, a Symantec recomenda as seguintes boas práticas:
- Seja cauteloso ao receber e-mails não solicitados, inesperados ou suspeitos
- Evite abrir anexos e clicar em links de e-mails não solicitados, inesperados ou suspeitos
- Mantenha o software antivírus e os sistemas operacionais atualizados
- Evite utilizar Boletos suspeitos
- Se o código de barras não funcionar, verifique e certifique-se de que não foi manipulado
- Compare o número de identificação com Boletos anteriores. Geralmente, se forem enviados pela mesma empresa, a primeira metade do número de identificação não muda
Considere utilizar métodos de pagamento mais seguros, como débito direto autorizado (DDA), para pagar contas frequentes.
Proteção Symantec e Norton
Produtos Symantec e Norton detectam essas ameaças como:
AV
IPS
Leitura adicional
Para saber mais sobre o malware Boleto, por favor, leia nosso estudo: Análise de malware visando o sistema de pagamento Boleto
