https://pay.kiwify.com.br/2s1jYvk?afid=ueA911xk Alterar país Nome E-mail Confirmar e-mail CPF/CNPJ Telefone +55 ▼ Tem um cupom de desconto? Cartão Boleto Pix Número do cartão 01 02 03 04 05 06 07 08 09 10 11 12 Mês 2026 2027 2028 2029 2030 2031 2032 2033 2034 2035 2036 2037 2038 2039 2040 2041 2042 2043 2044 2045 2046 2047 2048 2049 2050 2051 2052 Ano Cód. segurança 12x de R$ 21,41 11x de R$ 22,98 10x de R$ 24,88 9x de R$ 27,20 8x de R$ 30,10 7x de R$ 33,84 6x de R$ 38,84 5x de R$ 45,83 4x de R$ 56,34 3x de R$ 73,87 2x de R$ 108,95 R$ 207,00 Parcelas Salvar dados para as próximas compras Protegemos seus dados de pagamento com criptografia para garantir segurança bancária. Pagar agora Ao clicar em 'Pagar agora', eu declaro que (i) estou ciente que a Kiwify está processando essa compra em nome de 54.609.184 ANDREIA ADRIANA LESSENKO DE OLIVEIRA e que não possui responsabilidade pelo conteúdo, oferta, e nem faz controle prévio do infoproduto; (ii) que li e c...
GOLPE DO BOLETO FALSO: ENTENDA COMO FUNCIONA A FERRAMENTA USADA EM FRAUDE BANCÁRIA E DICAS PARA SE PROTEGER
Por Caíque Barqueta: O Reboleto ou KL Reboleto é um software com o intuito de interceptar todos os e-mails que são recebidos por uma conta.
Após a interceptação, o cibercriminoso poderá realizar a alteração dos dados contidos em um PDF que se encontre anexado, cujo foco principal destes PDFs sejam de boletos bancários, ocasionando por diversas vezes o pagamento a boletos falsos.
A sua divulgação e venda se dá em anúncios em fóruns clandestinos e em chats como o Telegram.
Figura 1. Exemplo de anúncio do Reboleto em chat no Telegram.
Figura 2. Exemplo de anúncio do Reboleto em fóruns clandestinos.
A ferramenta já estava sendo amplamente divulgada há alguns anos, inclusive, existem vídeos publicados na web por cibercriminosos divulgando o referido artefato, visando atrair compradores para utilizar a ferramenta em golpes on-line.
Figura 3. KL Reboleto sendo anunciado em 2019/2020.
Segundo os anúncios, é possível cadastrar contas de e-mail e senhas utilizados por estes para que fosse possível realizar a interceptação dos e-mails. No exemplo abaixo foram testados 352 e-mails acessados pelo criminoso para interceptação.
Figura 4. Configuração das contas de e-mails e senhas.
Figura 5. Monitoramento já realizado das contas validadas anteriormente.
Posteriormente, na versão de 2020, os criminosos poderiam realizar a interceptação de e-mails que possuíssem alguns assuntos específicos, como “segue anexo o boleto; boleto; duplicatas” entre outros, bem como no local (pasta) que este e-mail se encontrasse.
Figura 6. Configurações que poderão ser realizadas para a versão Reboleto 2019/2020.
Após o monitoramento, seriam identificados e-mails que contivessem algumas destas palavras e que pudessem ser lidos ou não pelos usuários.
Figura 7. E-mail identificado pela ferramenta contendo boleto.
O criminoso poderia abrir o conteúdo do e-mail e ter acesso aos dados referente ao corpo do e-mail e ao anexo que foi encaminhado para o titular.
Figura 8. Corpo do e-mail acessado pelo indivíduo.
Em seguida, o criminoso poderia alterar os dados relacionados ao boleto utilizando um editor de PDF, sendo que, após a edição, o novo arquivo seria adicionado ao e-mail interceptado e enviado normalmente para o usuário, sendo esta uma forma de atuação do Reboleto.
Análise técnica do Reboleto v.1.2 e v.1.4
O time de inteligência da ISH Tecnologia obteve acesso a ferramenta Reboleto utilizada pelos criminosos nas versões 1.2 e 1.4, as quais possuem as seguintes telas:
Figura 9. Versão do Reboleto 1.2.
Figura 10. Versão do Reboleto 1.4.
Para análise, vamos realizar a comparação das funções utilizadas, strings que são passíveis de identificação, seus comportamentos e demais detalhes que possam ser úteis para a investigação.
A versão 1.2 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 09/10/2019, às 15:30:33 horas, utilizando a linguagem Delphi.
Figura 11. Análise do cabeçalho PE do arquivo.
Foi verificado ainda que o referido executável possuí um alto índice de entropia, sendo possivelmente identificado devido a grande taxa de entropia nas seções .reloc e .rsrc.
Figura 12. Análise de Entropia do arquivo.
Quanto a sua aparência, foi possível observar que o desenvolvedor da ferramenta maliciosa provavelmente assiste o desenho animado “One Piece”, visto que utilizou seu .ico para o software.
Figura 13. Ícone utilizado pelo Reboleto.
Figura 14. Versão apresentada pelo Reboleto.
A versão 1.4 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 30/01/2020, às 19:11:10 horas, utilizando a linguagem Delphi.
Figura 15. Análise do cabeçalho PE do arquivo.
Verificada a identificação do artefato via entropia, foi possível concluir que possuí um nível alto de entropia, confirmando-se ainda o alto valor nas seções .reloc e .rsrc.
Figura 16. Análise de entropia do arquivo.
Nesta versão, o ícone utilizado para o software é outro em comparação com a ferramenta na sua versão 1.2. Em comparativo com as funções utilizadas pelos artefatos, podemos afirmar que eles possuem as mesmas funções importadas nas versões 1.2 e 1.4.
Figura 17. Comparativo de funções utilizadas.
Tendo em vista que não é de interesse desta análise realizar a engenharia reversa para as funções e demais detalhes do software, realizamos a execução dos artefatos testando as funções disponíveis e seu funcionamento.
Quanto aos seus funcionamentos, é possível observar que se trata da mesma funcionalidade apresentada anteriormente, visto que o intuito principal da referida ferramenta é o criminoso fornecer as credenciais de login para acesso a contas de e-mails, por meio de usuário e senha, bem como o host do e-mail e a porta utilizada.
O cibercriminoso necessita apenas cadastrar o nome, a senha, o host utilizado, a porta e o TLS (caso haja), salvá-lo em um arquivo .txt e realizar a importação para a ferramenta.
No exemplo abaixo foi realizada a importação de e-mails testes, verificando que, dentre os utilizados, existe um e-mail válido passível de interceptação.
Figura 18. Carregamento de usuários e senhas e validação pela ferramenta.
Após realizar o cadastro de login, é possível verificar que o monitoramento será iniciado visando identificar e-mails da conta validada.
Para fins de teste da ferramenta, foi realizado o envio de um e-mail teste com um arquivo em PDF em anexo, contendo termos no assunto como “Pagamento de boleto; Encaminhando Boleto” para verificar se a ferramenta utilizada pelos criminosos é efetiva.
O boleto que inicialmente fora enviado pelo mesmo endereço de e-mail utilizado no teste não consta na caixa de entrada na versão web.
Enquanto na ferramenta, após a chegada do e-mail, um alerta é emitido no qual é apresentado o Status do E-mail e em qual local se encontra (pasta).
O cibercriminoso poderá realizar a abertura do e-mail com o intuito de identificar o corpo do e-mail e de detalhes, como o documento PDF anexado.
Detalhes do e-mail interceptado.
Em seguida, o criminoso poderá realizar a edição do documento PDF. Como editor, a ferramenta executa o Foxit PDF Editor, que possui a função de edição de documentos PDF. Abaixo, observe a versão 1 do documento encaminhada via PDF.
Versão 1 do documento teste enviado pelo e-mail para alteração.
Versão 2 do documento teste enviado pelo e-mail com caracteres alterados.
Em seguida, após salvar o arquivo, este será anexado automaticamente ao e-mail interceptado, e, em sequência, pode ser realizada a função “Subir Mensagem” ou “Agendar” para o envio ao destinatário correto.
Minutos após o envio da mensagem, pode-se verificar que na caixa de mensagem do destinatário o e-mail chega normalmente, porém, com outra data e hora e com o conteúdo do PDF totalmente alterado pelo criminoso.
Mensagens recebidas via Caixa de Entrada e verificada a data e hora de recebimento da primeira mensagem para a segunda.
Anexo de PDF em boleto enviado.
Conclusão
Com isto, podemos concluir que, caso o criminoso tenha acesso ao login e senha de contas de e-mails, este realiza a validação do host de e-mail e da porta utilizada, sendo, nos casos observados, utilizadas as portas 993 e 143.
Lembrando que a porta 993 é utilizada como porta padrão pelo IMAP com criptografia SSL/TLS. O IMAP permite que os usuários acessem e gerenciem seus e-mails em um servidor remoto.
A porta 143 é a porta utilizada pelo POP3 sem criptografia, a qual permite que os usuários baixem e armazenem os e-mails em um dispositivo local.
Por fim, caso tenha sido vítima de golpe eletrônico na qual envolva boleto bancário, verifique suas contas de e-mails com o intuito de analisar se não fora realizado o acesso a conta através de outro local, visto que o login é realizado pela ferramenta conforme exemplo de log apresentado pela Microsoft Outlook.
Acompanhe abaixo a cadeia de ataque do Reboleto:
Recomendações da ISH:
Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação para contas de e-mails.
Use senhas fortes e diferentes para cada conta de e-mail. Não use senhas fáceis de adivinhar, como datas de aniversário ou nomes comuns.
Ative a autenticação em duas etapas (2FA) para adicionar uma camada extra de segurança às suas contas de e-mail. A autenticação em duas etapas exige que você forneça um código de segurança adicional além da senha para acessar sua conta.
Evite clicar em links ou abrir anexos de e-mails suspeitos. Isso pode ser uma tentativa de phishing para roubar suas informações de login ou infectar seu computador com malware.
Mantenha seu software antivírus e antimalware atualizados e verifique regularmente seu computador em busca de vírus e malware.
Não compartilhe suas senhas ou informações de login com outras pessoas.
Não use contas de e-mail públicas (como contas de e-mail gratuitas fornecidas por provedores de serviços de e-mail desconhecidos) para enviar informações confidenciais ou privadas.
Faça backup regularmente de seus e-mails importantes, pois isso ajudará a evitar a perda de dados em caso de falha do sistema ou problema de segurança.
Verifique regularmente suas configurações de privacidade e segurança de e-mail para garantir que estejam configuradas corretamente e de acordo com suas preferências.
Indicadores de Comprometimento
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
Indicadores de compromisso de artefato malicioso/ analisado
Comentários
Postar um comentário