Por Caíque Barqueta: O Reboleto ou KL Reboleto é um software com o intuito de interceptar todos os e-mails que são recebidos por uma conta.
Após a interceptação, o cibercriminoso poderá realizar a alteração dos dados contidos em um PDF que se encontre anexado, cujo foco principal destes PDFs sejam de boletos bancários, ocasionando por diversas vezes o pagamento a boletos falsos.
A sua divulgação e venda se dá em anúncios em fóruns clandestinos e em chats como o Telegram.
A ferramenta já estava sendo amplamente divulgada há alguns anos, inclusive, existem vídeos publicados na web por cibercriminosos divulgando o referido artefato, visando atrair compradores para utilizar a ferramenta em golpes on-line.
Segundo os anúncios, é possível cadastrar contas de e-mail e senhas utilizados por estes para que fosse possível realizar a interceptação dos e-mails. No exemplo abaixo foram testados 352 e-mails acessados pelo criminoso para interceptação.
Posteriormente, na versão de 2020, os criminosos poderiam realizar a interceptação de e-mails que possuíssem alguns assuntos específicos, como “segue anexo o boleto; boleto; duplicatas” entre outros, bem como no local (pasta) que este e-mail se encontrasse.
Após o monitoramento, seriam identificados e-mails que contivessem algumas destas palavras e que pudessem ser lidos ou não pelos usuários.
O criminoso poderia abrir o conteúdo do e-mail e ter acesso aos dados referente ao corpo do e-mail e ao anexo que foi encaminhado para o titular.
Em seguida, o criminoso poderia alterar os dados relacionados ao boleto utilizando um editor de PDF, sendo que, após a edição, o novo arquivo seria adicionado ao e-mail interceptado e enviado normalmente para o usuário, sendo esta uma forma de atuação do Reboleto.
Análise técnica do Reboleto v.1.2 e v.1.4
O time de inteligência da ISH Tecnologia obteve acesso a ferramenta Reboleto utilizada pelos criminosos nas versões 1.2 e 1.4, as quais possuem as seguintes telas:
Para análise, vamos realizar a comparação das funções utilizadas, strings que são passíveis de identificação, seus comportamentos e demais detalhes que possam ser úteis para a investigação.
A versão 1.2 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 09/10/2019, às 15:30:33 horas, utilizando a linguagem Delphi.
Foi verificado ainda que o referido executável possuí um alto índice de entropia, sendo possivelmente identificado devido a grande taxa de entropia nas seções .reloc e .rsrc.
Quanto a sua aparência, foi possível observar que o desenvolvedor da ferramenta maliciosa provavelmente assiste o desenho animado “One Piece”, visto que utilizou seu .ico para o software.
A versão 1.4 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 30/01/2020, às 19:11:10 horas, utilizando a linguagem Delphi.
Verificada a identificação do artefato via entropia, foi possível concluir que possuí um nível alto de entropia, confirmando-se ainda o alto valor nas seções .reloc e .rsrc.
Nesta versão, o ícone utilizado para o software é outro em comparação com a ferramenta na sua versão 1.2. Em comparativo com as funções utilizadas pelos artefatos, podemos afirmar que eles possuem as mesmas funções importadas nas versões 1.2 e 1.4.
Tendo em vista que não é de interesse desta análise realizar a engenharia reversa para as funções e demais detalhes do software, realizamos a execução dos artefatos testando as funções disponíveis e seu funcionamento.
Quanto aos seus funcionamentos, é possível observar que se trata da mesma funcionalidade apresentada anteriormente, visto que o intuito principal da referida ferramenta é o criminoso fornecer as credenciais de login para acesso a contas de e-mails, por meio de usuário e senha, bem como o host do e-mail e a porta utilizada.
O cibercriminoso necessita apenas cadastrar o nome, a senha, o host utilizado, a porta e o TLS (caso haja), salvá-lo em um arquivo .txt e realizar a importação para a ferramenta.
No exemplo abaixo foi realizada a importação de e-mails testes, verificando que, dentre os utilizados, existe um e-mail válido passível de interceptação.
Após realizar o cadastro de login, é possível verificar que o monitoramento será iniciado visando identificar e-mails da conta validada.
Para fins de teste da ferramenta, foi realizado o envio de um e-mail teste com um arquivo em PDF em anexo, contendo termos no assunto como “Pagamento de boleto; Encaminhando Boleto” para verificar se a ferramenta utilizada pelos criminosos é efetiva.
O boleto que inicialmente fora enviado pelo mesmo endereço de e-mail utilizado no teste não consta na caixa de entrada na versão web.
Enquanto na ferramenta, após a chegada do e-mail, um alerta é emitido no qual é apresentado o Status do E-mail e em qual local se encontra (pasta).
O cibercriminoso poderá realizar a abertura do e-mail com o intuito de identificar o corpo do e-mail e de detalhes, como o documento PDF anexado.
Em seguida, o criminoso poderá realizar a edição do documento PDF. Como editor, a ferramenta executa o Foxit PDF Editor, que possui a função de edição de documentos PDF. Abaixo, observe a versão 1 do documento encaminhada via PDF.
Em seguida, após salvar o arquivo, este será anexado automaticamente ao e-mail interceptado, e, em sequência, pode ser realizada a função “Subir Mensagem” ou “Agendar” para o envio ao destinatário correto.
Minutos após o envio da mensagem, pode-se verificar que na caixa de mensagem do destinatário o e-mail chega normalmente, porém, com outra data e hora e com o conteúdo do PDF totalmente alterado pelo criminoso.
Conclusão
Com isto, podemos concluir que, caso o criminoso tenha acesso ao login e senha de contas de e-mails, este realiza a validação do host de e-mail e da porta utilizada, sendo, nos casos observados, utilizadas as portas 993, 110 e 143.
Lembrando que a porta 993 é utilizada como porta padrão pelo IMAP com criptografia SSL/TLS. O IMAP permite que os usuários acessem e gerenciem seus e-mails em um servidor remoto.
A porta 110 é a porta utilizada pelo POP3 sem criptografia, a qual permite que os usuários baixem e armazenem os e-mails em um dispositivo local.
A porta 143 é utilizada para IMAP sem criptografia, uma vez que o IMAP permite acesso aos e-mails no servidor remoto sem utilização de criptografia.
Por fim, caso tenha sido vítima de golpe eletrônico na qual envolva boleto bancário, verifique suas contas de e-mails com o intuito de analisar se não fora realizado o acesso a conta através de outro local, visto que o login é realizado pela ferramenta conforme exemplo de log apresentado pela Microsoft Outlook.
Acompanhe abaixo a cadeia de ataque do Reboleto:
Recomendações da ISH:
Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação para contas de e-mails.
- Use senhas fortes e diferentes para cada conta de e-mail. Não use senhas fáceis de adivinhar, como datas de aniversário ou nomes comuns.
- Ative a autenticação em duas etapas (2FA) para adicionar uma camada extra de segurança às suas contas de e-mail. A autenticação em duas etapas exige que você forneça um código de segurança adicional além da senha para acessar sua conta.
- Evite clicar em links ou abrir anexos de e-mails suspeitos. Isso pode ser uma tentativa de phishing para roubar suas informações de login ou infectar seu computador com malware.
- Mantenha seu software antivírus e antimalware atualizados e verifique regularmente seu computador em busca de vírus e malware.
- Não compartilhe suas senhas ou informações de login com outras pessoas.
- Não use contas de e-mail públicas (como contas de e-mail gratuitas fornecidas por provedores de serviços de e-mail desconhecidos) para enviar informações confidenciais ou privadas.
- Faça backup regularmente de seus e-mails importantes, pois isso ajudará a evitar a perda de dados em caso de falha do sistema ou problema de segurança.
- Verifique regularmente suas configurações de privacidade e segurança de e-mail para garantir que estejam configuradas corretamente e de acordo com suas preferências.
Indicadores de Comprometimento
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 9bfecb5c5d267e5e9a16e4f60b0e17b4 |
| sha1: | 438ad5e55336d4a6b810608e5d28bd513e97d7c1 |
| sha256: | c2fc49a8b31c24723c9f49201bfe78bb1bfe87a28bfedbfac9b854c7e0d232b3 |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 056bec8d5a54b681aa77ab12b27fabb0 |
| sha1: | 1516055e5a552fae12ffce19f60fd8205ce5abf6 |
| sha256: | 6edc1dfc162d45bc67b2fffd4f1c472a7d56dfc9daae27870cc9de94c2129848 |
Cara, acabei de ler um artigo bem legal sobre o golpe do boleto falso! O pessoal do ISH mandou super bem na explicação de como os criminosos usam essa ferramenta para aplicar as fraudes bancárias. E o melhor é que eles ainda deram dicas de como se proteger. Achei o conteúdo muito bem apresentado e fácil de entender. Vale a pena dar uma lida!
Recebi de um cliente a confirmação de pagamento de uma mensalidade, no entanto o banco e o destinatário são diferentes de minha empresa, verifiquei os backups e meus arquivos originais continuam com a informação correta, solicitei ao cliente que encaminhasse a mensagem e nesta ultima o boleto possuia alteração no codigo de barras e linha digitavel.
Tudo exceto isso permanece intacto.
Confirmei com os demais clientes que tiveram fatura emitida na mesma data e o pagamento compensou corretamente, sendo assim suponho que foi algo em execução no cliente.
Irei alertar sobre isso e incluir comentários desta página.
Obrigado por compartilhar.