Brasileiros e europeus criam nova versão da fraude do boleto
Depois da Gangue do Boleto, cibercriminosos do Brasil e Europa voltam suas atenções para o Bolware
Quando noticiaram o rombo causado pela Gangue do Boleto – algo em torno de R$ 8,2 bi – era esperado que o prejuízo continuasse aumentando, mesmo com o alerta à população. O Blog da PSafe explicou como os hacker agiam e como se proteger. Agora os criminosos começaram a desenvolver outras formas de infectar as máquinas dos usuários para adulterar boletos bancários.
O novo truque para fraudar boletos se utiliza de arquivos não-executáveis e criptografados com chave de 32 bits, que posteriormente são comprimidos pela padrão ZLIB. Os arquivos usam extensões .BCK e .JMP. O modelo é semelhante ao trojan ZeuS GameOver, que desviou mais de US$ 100 milhões até junho deste ano, mas neste caso a extensão usada era .ENC.
Se na primeira versão do Bolware a quadrilha trabalhava a partir dos Estados Unidos, desta vez, os cibercriminosos podem estar associados a hackers do Leste Europeu. Justamente aqueles que desenvolveram o ZeuS. À época, em fevereiro do ano passado, o especialista em segurança, Gary Warner, alertou sobre uma versão do trojan que baixava arquivos com extensão .ENC para a máquina infectada. Em seguida, um laboratório demonstrou que a prática era uma tentativa de burlar sistemas de detecção de invasão, webfilters e firewalls. O arquivo criptografado aparece da seguinte forma:
Em seguida, o arquivo aparece já sem criptografia na forma de um executável.
A técnica usada pelos brasileiros é semelhante, mas eles resolveram usar a extensão .JMP em arquivos criptografados. A nova fraude inclui dispositivos para remover programas antirootkit Partizan, que servem para detectar a presença de trojans na máquina, os criados em Delphi e que contém as imagens dos principais bancos do Brasil.
Outro aspecto da nova versão do Bolware é que os arquivos também podem estar em .BCK, que traz consigo um cabeçalho com assinatura de algum programa de backup. Ao conseguir visualizar o arquivo criptografado é possível verificar que há contido nele, um vírus com arquivo no formato CPL, que é usado nas campanhas do boleto. É importante destacar o caminho original do arquivo compactado no BCK, “refazboleto”, que pode ser visto no quadrado vermelho.
Com esta nova técnica para tentar fraudar boletos, os usuários devem redobrar seus cuidados na rede. As principais recomendações continuam valendo. Mantenha seu antivírus sempre atualizado. Caso desconfie que sua máquina está infectada, evite emitir ou pagar boletos pela internet. Pagar direto no caixa do banco pode ser mais demorado e chato, mas, nestes casos, evitará possíveis prejuízos e muita dor de cabeça. Além disto, evite clicar em links ou abrir arquivos desconhecidos em anexo de e-mails, mesmo que a mensagem tenha sido enviada por uma pessoa conhecida. É comum que cibercriminosos tenham acesso à conta de e-mail do usuário infectado e, com isso, possam enviar mensagens com vírus para toda a lista de endereços cadastrada.
Atualmente, o foco de desenvolvimento de malwares no Brasil está sendo voltado para o Bolware, o que sugere alta taxa de sucesso e lucro com este tipo de ataque, fazendo deste tipo de malware maioria entre as ameaças interceptadas e analisadas pela área de Tecnologia da Informação.