Cuidado com golpe que transforma boletos em anexos maliciosos

Software malicioso “Reboleto” possui a capacidade de interceptar todos os e-mails recebidos por uma conta invadida, e então alterar os dados contidos em um documento que se encontre anexado, com foco em PDFs de boletos bancários

Compartilhar:

A ISH Tecnologia alerta para o tipo de ataque identificado pela sua equipe. Trata-se do software malicioso “Reboleto” (ou “KL Reboleto”), que possui a capacidade de interceptar todos os e-mails recebidos por uma conta invadida, e então alterar os dados contidos em um documento que se encontre anexado, com foco em PDFs de boletos bancários.

 

A sua divulgação e venda é feita em anúncios de fóruns clandestinos e aplicativos de mensagens, como o Telegram. Além do software, é oferecida uma lista com milhares de credenciais, para que o criminoso possa cadastrar e verificar os e-mails recebidos. São credenciais obtidas das mais variadas formas, como tentativas de força bruta ou uso de outros malwares ou ransomwares. Abaixo, um exemplo desses anúncios:

 

 

“Neste ataque, o cibercriminoso atua como uma espécie de ‘intermediário’ entre o remetente e o destinatário dos e-mails”, explica Caique Barqueta, Analista de Malware da ISH. “Uma vez que ele tem acesso à conta da pessoa que receberá os arquivos, ele altera a composição do PDF recebido, fazendo com que o conteúdo chegue adulterado ao usuário final, como um boleto falso, por exemplo.”

 

A Inteligência da ISH revela que se trata de um software que já passou por diversas atualizações nos últimos anos. Na versão mais recente, de 2020, o programa consegue filtrar os e-mails interceptados, em busca de palavras-chave como “boleto”, “duplicatas”, “segue anexo”, entre outros, para então alterar a composição dos arquivos. Basta ao cibercriminoso informar o e-mail, senha e domínio, e importá-lo à plataforma em um arquivo de formato .txt.

 

Após a importação e interceptação, o software exibe inteiramente o corpo dos e-mails, com todo o texto, remetente e anexos. Então, por meio do programa Foxit PDF Editor, é feita a alteração dos dados do PDF anexado. No exemplo abaixo, feito pela ISH em um teste, o primeiro e-mail é o legítimo, e o segundo, enviado algumas horas depois e com formato idêntico, está adulterado, e possui um boleto falso:

 

 

O teste também revelou que é possível agendar o envio do e-mail fraudulento, para que não chegue em horário muito próximo do original, e assim diminua a suspeita por parte da vítima.

 

Prevenção

 

Uma vez que o ataque se “inicia” com o roubo das credenciais da vítima, como seu endereço de e-mail e senha, Barqueta ressalta que a forma mais importante de se prevenir contra possíveis problemas com o Reboleto está em aumentar a proteção de seus logins. Isso inclui medidas como:

 

• Usar senhas fortes e diferentes para cada conta. Evitar credenciais fáceis de adivinhar, como datas de aniversário, nomes comuns, ou qualquer informação sua que possa ser facilmente encontrada na internet;

 

• Ativar a autenticação em duas etapas (2FA). Por meio dela, o acesso só é permitido com o fornecimento de um código de segurança adicional, além da senha;

 

• Evitar clicar em links ou anexos suspeitos. Caso o remetente aparente ser oficial, como uma instituição financeira ou governamental, o ideal é se certificar por meio de algum portal de atendimento que aquela comunicação é legítima;

 

• Mantenha seus softwares antivírus e antimalware atualizados, e faça varreduras frequentes;

 

• Não utilize contas de e-mail públicas, como as gratuitas fornecidas por provedores desconhecidos, para enviar informações confidenciais ou privadas;

 

• Faça backups regularmente de seus e-mails mais sensíveis; isso ajuda a evitar a perda dos dados no caso de uma falha no sistema ou incidente de segurança;

 

• Verifique com frequência suas configurações de privacidade e segurança no seu provedor de e-mail de escolha, para que estejam configuradas de acordo com suas preferências.

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...