Crackers brasileiros e gangue europeia criam nova técnica para alterar boletos

Por Redação | 13 de Agosto de 2014 às 16h45

Você certamente já deve estar cansado de ver notícias na TV e na internet sobre como os golpes online estão ficando cada vez mais sofisticados – e perigosos. Algumas das táticas mais comuns usadas por cibercriminosos é enviar e-mails em nome de instituições oficiais que, no final das contas, são verdadeiras armadilhas para usuários mais desatentos.

Agora, analistas da Kaspersky Lab descobriram que crackers brasileiros desenvolveram uma nova técnica que altera boletos bancários com o objetivo de infectar e roubar mais internautas. O novo procedimento consiste em usar arquivos não-executáveis e criptografados com uma chave de 32 bits, que posteriormente são comprimidos pelo padrão ZLIB. A técnica é muito similar ao do trojan Gameover Zeus, um vírus que desviou US$ 100 millhões no mundo todo e que só foi desativado em junho deste ano.

De acordo com a Kaspersky, criminosos brasileiros estão trabalhando e cooperando com algumas gangues do Leste Europeu envolvidas no desenvolvimento e disseminação do Zeus e suas variantes. Essas ameaças são direcionadas principalmente na infecção de caixas eletrônicos e dispositivos de pagamento (PoS). Os analistas afirmam que já surgiram os resultados dessa cooperação entre os cibercrminosos daqui e da Europa, em especial um malware que está afetando pagamentos em boleto realizados no Brasil.

Em feveireiro do ano passado, o especialista em segurança Gary Warner escreveu sobre uma nova versão da campanha Zeus que baixava alguns arquivos estranhos e não-executáveis com a extensão .ENC para a máquina infectada. Segundo o laboratório CrySys, que estudou a extensão, os crackers fazem uso dessa técnica para burlar diversas proteções, como firewall, filtros da web, sistemas de detecção de instrusão na rede e outras defesas usadas em redes corporativas.

Os criminosos brasileiros, por sua vez, decidiram usar a extensão .JMP em arquivos criptografados do mesmo jeito: baixado por esses pequenos Trojans usados em campanhas maliciosas que visam alterar boletos bancários. É assim que um arquivo criptografado se parece no começo:

Kaspersky Lab

Após remover a criptografia, é possível pode vê-lo como um arquivo .EXE executável normal:

Kaspersky Lab

A Kaspersky Lab alega que os crackers brasileiros estão criptografando os grandes arquivos (payloads) usando essa técnica, incluindo algumas ferramentas de remoção de software como o antirootkit Partizan e trojans desenvolvidos em Delphi que incluem imagens de páginas das instituições bancárias brasileiras. O objetivo é deixar os arquivos que compõem a infecção de maneira criptografada e indetectável, não sendo reconhecido como um executável normal.

Outra variante do ataque são os arquivos .BCK. Eles foram empacotados usando uma aplicação desconhecida - o malware traz em seu cabeçalho a assinatura de algum software comercial de backup. Visualizar o inicio do arquivo criptografado é suficiente para descobrir o que há dentro dele: um outro arquivo malicioso, que na maioria dos casos trata-se de arquivos CPL usados nas campanhas dos boletos. Na imagem abaixo, dentro da área demarcada em vermelho, é possível notar o comando "refazboleto", apontando para um arquivo CPL:

Kaspersky Lab

Para não se tornar mais uma vítima, as dicas são aquelas que você já deve conhecer: instalar um bom antivírus no seu computador e atualizá-lo constantemente. Sempre desconte de e-mails enviados por desconhecidos e nunca clique em links ou baixe arquivos em anexo dentro dessas mensagens. Além disso, se desconfiar que sua máquina foi infectada, evite usar os serviços financeiros online do seu banco e procure um especialista.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.