Ameaça modifica linha digitável
dos boletos bancários e inutiliza código de barras. Vírus atinge tanto usuário
de internet banking, quanto aqueles que costumam imprimir o boleto.
Uma nova ameaça online modifica boletos
bancários e faz com que o dinheiro seja creditado em uma conta que não a
pretendida pelo usuário. O vírus, identificado pelo site especializado em
segurança Linha Defensiva, altera os números da linha digitável e
corrompe o código de barras - o que impede o seu uso.
Tanto o valor quanto o vencimento
permanecem intáctos, bem como o logotipo do banco - o que impede que a vítima
descubra a fraude facilmente. Um dado curioso é que o número do banco é
modificado.
Em teste realizado pelo site, o
logotipo do boleto pertencia ao Bradesco, mas o número do banco era do
Santander - e o mesmo aconteceu com boletos gerados a partir de outros bancos,
como Itaú, Caixa Econômica e Banco do Brasil. Mas, segundo o site, "é
possível que esse mesmo vírus utilize contas de outros bancos, conforme a
necessidade ou interesse dos golpistas", ou seja, mesmo que apenas o
número do Santander tenha aparecido nos testes, pode ser que, em outros golpes,
o banco de destino seja outro.
Veja as diferenças descritas acima
entre as imagens dos boletos abaixo:
Reprodução do boleto verdadeiro gerado durante
teste do site (Imagem: Linha Defensiva)
Reprodução do boleto alterado pelo vírus
durante teste do site (Imagem: Linha Defensiva)
A ameaça pode atingir tanto usuários
que utilizam internet banking, quanto aqueles que costumam imprimir o boleto
(segunda via, por exemplo). Isso porque a alteração acontece em tempo-real,
assim que o vírus identifica quando o usuário abre o documento no browser - que
pode ser proveniente de qualquer site. Basta ter um código de barras e a
palavra "boleto" na página e pronto, é o necessário para a
modificação ser realizada.
De acordo com o Linha Defensiva, o
vírus envia os dados do boleto para um servidor de comando e controle, que
devolve novos dados para que a alteração possa ser feita - o que acarreta em um
maior tempo de carregamento da página.
Já que a ameaça não consegue alterar o
código de barras do boleto, ela o corrompe por meio de uma HTML
"spam" e acrescenta um espaço (representado pelo caractere
" ") no código da página.
HTML "spam" inserido na página para
corromper o código de barras (Imagem: Linha Defensiva)
O vírus
A primeira coisa que o vírus faz ao entrar no sistema é buscar softwares de segurança de bancos e os remove da máquina, depois ele desabilita o firewall no Windows e se autocopia para que inicie junto com o sistema. "A praga também possui funções que demonstram a tentativa de evitar a análise do código e não entra em operação imediatamente após ser executada, o que pode burlar alguns sistemas automáticos de análise de comportamento", diz o site.
A primeira coisa que o vírus faz ao entrar no sistema é buscar softwares de segurança de bancos e os remove da máquina, depois ele desabilita o firewall no Windows e se autocopia para que inicie junto com o sistema. "A praga também possui funções que demonstram a tentativa de evitar a análise do código e não entra em operação imediatamente após ser executada, o que pode burlar alguns sistemas automáticos de análise de comportamento", diz o site.
Como se não fosse o suficiente alterar
os boletos, o código malicioso possui recursos para coletar senhas do Facebook
e Hotmail - que possivelmente serão usados para espalhar o vírus no futuro,
segundo o Linha Defensiva.
O servidor de comando e controle também
armazena dados sobre a máquina, como nome, endereço IP e localização
geográfica.
Como detectar
Segundo o site, as linhas digitáveis dos boletos serão sempre parecidas, o código de barras apresentará um pedaço em branco para que possa ser invalidado e o logotipo não condiz com o número do banco.
Segundo o site, as linhas digitáveis dos boletos serão sempre parecidas, o código de barras apresentará um pedaço em branco para que possa ser invalidado e o logotipo não condiz com o número do banco.
Mas vale ressaltar que, por ser novo, o
vírus pode ainda adquirir implementações que corrijam essas limitações.
"Uma versão avançada desse vírus poderia resolver todos esses problemas.
Ou seja, o vírus ainda não adquiriu sofisticação plena, mas novas versões do
programa podem aperfeiçoá-lo, assim, o ataque seria bastante difícil de ser
detectado", diz o site.
Segundo o VirusTotal, o código
malicioso está em circulação há três semanas.
Nenhum comentário:
Postar um comentário