Vírus brasileiro manipula boletos desvia pagamentos na web

Uma praga digital brasileira atua manipulando a "linha digitável" (código numérico) dos boletos bancários acessados na web para desviar pagamentos a outras contas bancárias. A técnica foi identificada em um uso e publicada por uma análise do site de segurança "Linha Defensiva" desta segunda-feira (15), mas o vírus já está em circulação há três semanas.

Ao acessar um boleto on-line, em qualquer site, a praga identifica o boleto e altera a linha digitável para desviar a agência e conta do cedente para uma conta determinada pelo vírus. Nos bastidores, o código se comunica com um servidor de controle que fornece as instruções de substituição ao programa.

Os boletos modificados apresentam algumas inconsistências, como o logo do banco e o número do banco no boleto, que não conferem. Para impedir a vítima de usar o código de barras, o vírus insere um espaço em branco no meio do código, o que fará com que leitores de código de barra acusem erro.

Caso a vítima pague o boleto usando a linha digitável, o valor irá para a conta determinada pelo vírus. O valor e o vencimento do documento não são alterados, diminuindo as chances de o problema ser percebido.

De acordo com a "Linha Defensiva", a técnica cria a possibilidade de atingir mesmo quem não faz uso do internet banking, mas realiza compras pela internet ou imprime a segunda via de boletos.

Além de manipular boletos, a praga também é capaz de capturar senhas de serviços on-line, como contas Microsoft e no Facebook. Segundo a "Linha Defensiva", o código emprega técnicas que tentam dificultar a análise da praga digital, mas a maioria dos antivírus já consegue detectá-la.

Funcionamento básico do vírus

Ao ser iniciado, o vírus tenta localizar a presença de softwares de segurança dos bancos e removê-los do computador. Ele também desabilita o firewall do Windows e copia a si mesmo com um nome aleatório e configura o Windows para iniciar esse arquivo junto com o sistema.

Além da capacidade de manipular boletos, o vírus traz ainda recursos de captura de senha do Facebook e Hotmail. Essas contas podem ser usadas para disseminar outras pragas digitais futuramente.

A praga fica em constante contato com um servidor de controle, que armazena informações sobre cada computador infectado, entre elas o endereço IP, o nome do computador e a localização geográfica.

A Linha Defensiva recebeu duas amostras de vírus com esse comportamento. Uma delas tem pouco mais de 400 KB de tamanho, e a outra cerca de 500 KB.

A praga também possui funções que demonstram a tentativa de evitar a análise do código e não entra em operação imediatamente após ser executada, o que pode burlar alguns sistemas automáticos de análise de comportamento.

 

Detectando o golpe

Por limitações do vírus, é possível identificar o golpe de algumas formas:

• As linhas digitáveis dos boletos serão sempre parecidas
• O código de barras terá um “buraco” branco e será inválido
• O logo do banco não será sempre idêntico ao número do banco presente na linha digitável

Uma versão avançada desse vírus poderia resolver todos esses problemas. Ou seja, o vírus ainda não adquiriu sofisticação plena, mas novas versões do programa podem aperfeiçoá-lo e corrigir essas limitações. Assim, o ataque seria bastante difícil de ser detectado.

O ataque é especialmente notório por conseguir “pular” para o mundo off-line, prejudicando mesmo aqueles que não utilizam internet banking, mas fazem, por exemplo, impressão de segunda via de boletos pela internet.

Em circulação há pelo menos três semanas segundo o VirusTotal, as taxas de detecção são boas, embora o funcionamento do golpe não tenha sido divulgado por nenhuma empresa antivírus.

Fonte: Linha defensiva/Rondonoticias