Golpe do boleto falso: entenda como funciona a ferramenta usada em fraude bancária e dicas para se proteger

Por Caíque Barqueta: O Reboleto ou KL Reboleto é um software com o intuito de interceptar todos os e-mails que são recebidos por uma conta.

Após a interceptação, o cibercriminoso poderá realizar a alteração dos dados contidos em um PDF que se encontre anexado, cujo foco principal destes PDFs sejam de boletos bancários, ocasionando por diversas vezes o pagamento a boletos falsos.

A sua divulgação e venda se dá em anúncios em fóruns clandestinos e em chats como o Telegram.

Figura 1. Exemplo de anúncio do Reboleto em chat no Telegram.

Figura 2. Exemplo de anúncio do Reboleto em fóruns clandestinos.

A ferramenta já estava sendo amplamente divulgada há alguns anos, inclusive, existem vídeos publicados na web por cibercriminosos divulgando o referido artefato, visando atrair compradores para utilizar a ferramenta em golpes on-line.

Figura 3. KL Reboleto sendo anunciado em 2019/2020.

Segundo os anúncios, é possível cadastrar contas de e-mail e senhas utilizados por estes para que fosse possível realizar a interceptação dos e-mails. No exemplo abaixo foram testados 352 e-mails acessados pelo criminoso para interceptação.

Figura 4. Configuração das contas de e-mails e senhas.

Figura 5. Monitoramento já realizado das contas validadas anteriormente.

Posteriormente, na versão de 2020, os criminosos poderiam realizar a interceptação de e-mails que possuíssem alguns assuntos específicos, como “segue anexo o boleto; boleto; duplicatas” entre outros, bem como no local (pasta) que este e-mail se encontrasse.

Figura 6. Configurações que poderão ser realizadas para a versão Reboleto 2019/2020.

Após o monitoramento, seriam identificados e-mails que contivessem algumas destas palavras e que pudessem ser lidos ou não pelos usuários.

Figura 7. E-mail identificado pela ferramenta contendo boleto.

O criminoso poderia abrir o conteúdo do e-mail e ter acesso aos dados referente ao corpo do e-mail e ao anexo que foi encaminhado para o titular.

Figura 8. Corpo do e-mail acessado pelo indivíduo.

Em seguida, o criminoso poderia alterar os dados relacionados ao boleto utilizando um editor de PDF, sendo que, após a edição, o novo arquivo seria adicionado ao e-mail interceptado e enviado normalmente para o usuário, sendo esta uma forma de atuação do Reboleto.

Análise técnica do Reboleto v.1.2 e v.1.4

O time de inteligência da ISH Tecnologia obteve acesso a ferramenta Reboleto utilizada pelos criminosos nas versões 1.2 e 1.4, as quais possuem as seguintes telas:

Figura 9. Versão do Reboleto 1.2.

Figura 10. Versão do Reboleto 1.4.

Para análise, vamos realizar a comparação das funções utilizadas, strings que são passíveis de identificação, seus comportamentos e demais detalhes que possam ser úteis para a investigação.

A versão 1.2 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 09/10/2019, às 15:30:33 horas, utilizando a linguagem Delphi.

Figura 11. Análise do cabeçalho PE do arquivo.

Foi verificado ainda que o referido executável possuí um alto índice de entropia, sendo possivelmente identificado devido a grande taxa de entropia nas seções .reloc e .rsrc.

Figura 12. Análise de Entropia do arquivo.

Quanto a sua aparência, foi possível observar que o desenvolvedor da ferramenta maliciosa provavelmente assiste o desenho animado “One Piece”, visto que utilizou seu .ico para o software.

Figura 13. Ícone utilizado pelo Reboleto.

Figura 14. Versão apresentada pelo Reboleto.

 A versão 1.4 do Reboleto, utiliza o nome de “MailFinder.exe” e foi compilada em 30/01/2020, às 19:11:10 horas, utilizando a linguagem Delphi.

Figura 15. Análise do cabeçalho PE do arquivo.

Verificada a identificação do artefato via entropia, foi possível concluir que possuí um nível alto de entropia, confirmando-se ainda o alto valor nas seções .reloc e .rsrc.

Figura 16. Análise de entropia do arquivo.

Nesta versão, o ícone utilizado para o software é outro em comparação com a ferramenta na sua versão 1.2. Em comparativo com as funções utilizadas pelos artefatos, podemos afirmar que eles possuem as mesmas funções importadas nas versões 1.2 e 1.4.

Figura 17. Comparativo de funções utilizadas.

Tendo em vista que não é de interesse desta análise realizar a engenharia reversa para as funções e demais detalhes do software, realizamos a execução dos artefatos testando as funções disponíveis e seu funcionamento.

Quanto aos seus funcionamentos, é possível observar que se trata da mesma funcionalidade apresentada anteriormente, visto que o intuito principal da referida ferramenta é o criminoso fornecer as credenciais de login para acesso a contas de e-mails, por meio de usuário e senha, bem como o host do e-mail e a porta utilizada.

O cibercriminoso necessita apenas cadastrar o nome, a senha, o host utilizado, a porta e o TLS (caso haja), salvá-lo em um arquivo .txt e realizar a importação para a ferramenta.

No exemplo abaixo foi realizada a importação de e-mails testes, verificando que, dentre os utilizados, existe um e-mail válido passível de interceptação.

Figura 18.  Carregamento de usuários e senhas e validação pela ferramenta.

Após realizar o cadastro de login, é possível verificar que o monitoramento será iniciado visando identificar e-mails da conta validada.

Para fins de teste da ferramenta, foi realizado o envio de um e-mail teste com um arquivo em PDF em anexo, contendo termos no assunto como “Pagamento de boleto; Encaminhando Boleto” para verificar se a ferramenta utilizada pelos criminosos é efetiva.

O boleto que inicialmente fora enviado pelo mesmo endereço de e-mail utilizado no teste não consta na caixa de entrada na versão web.

Enquanto na ferramenta, após a chegada do e-mail, um alerta é emitido no qual é apresentado o Status do E-mail e em qual local se encontra (pasta).

O cibercriminoso poderá realizar a abertura do e-mail com o intuito de identificar o corpo do e-mail e de detalhes, como o documento PDF anexado.

Detalhes do e-mail interceptado.

Em seguida, o criminoso poderá realizar a edição do documento PDF. Como editor, a ferramenta executa o Foxit PDF Editor, que possui a função de edição de documentos PDF. Abaixo, observe a versão 1 do documento encaminhada via PDF.

Versão 1 do documento teste enviado pelo e-mail para alteração.

Versão 2 do documento teste enviado pelo e-mail com caracteres alterados.

Em seguida, após salvar o arquivo, este será anexado automaticamente ao e-mail interceptado, e, em sequência, pode ser realizada a função “Subir Mensagem” ou “Agendar” para o envio ao destinatário correto.

Minutos após o envio da mensagem, pode-se verificar que na caixa de mensagem do destinatário o e-mail chega normalmente, porém, com outra data e hora e com o conteúdo do PDF totalmente alterado pelo criminoso.

Mensagens recebidas via Caixa de Entrada e verificada a data e hora de recebimento da primeira mensagem para a segunda.

Anexo de PDF em boleto enviado.

Conclusão

Com isto, podemos concluir que, caso o criminoso tenha acesso ao login e senha de contas de e-mails, este realiza a validação do host de e-mail e da porta utilizada, sendo, nos casos observados, utilizadas as portas 993, 110 e 143.

Lembrando que a porta 993 é utilizada como porta padrão pelo IMAP com criptografia SSL/TLS. O IMAP permite que os usuários acessem e gerenciem seus e-mails em um servidor remoto.

A porta 110 é a porta utilizada pelo POP3 sem criptografia, a qual permite que os usuários baixem e armazenem os e-mails em um dispositivo local.

A porta 143 é utilizada para IMAP sem criptografia, uma vez que o IMAP permite acesso aos e-mails no servidor remoto sem utilização de criptografia.

Por fim, caso tenha sido vítima de golpe eletrônico na qual envolva boleto bancário, verifique suas contas de e-mails com o intuito de analisar se não fora realizado o acesso a conta através de outro local, visto que o login é realizado pela ferramenta conforme exemplo de log apresentado pela Microsoft Outlook.

Acompanhe abaixo a cadeia de ataque do Reboleto:

Recomendações da ISH:

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação para contas de e-mails.

  • Use senhas fortes e diferentes para cada conta de e-mail. Não use senhas fáceis de adivinhar, como datas de aniversário ou nomes comuns.
  • Ative a autenticação em duas etapas (2FA) para adicionar uma camada extra de segurança às suas contas de e-mail. A autenticação em duas etapas exige que você forneça um código de segurança adicional além da senha para acessar sua conta.
  • Evite clicar em links ou abrir anexos de e-mails suspeitos. Isso pode ser uma tentativa de phishing para roubar suas informações de login ou infectar seu computador com malware.
  • Mantenha seu software antivírus e antimalware atualizados e verifique regularmente seu computador em busca de vírus e malware.
  • Não compartilhe suas senhas ou informações de login com outras pessoas.
  • Não use contas de e-mail públicas (como contas de e-mail gratuitas fornecidas por provedores de serviços de e-mail desconhecidos) para enviar informações confidenciais ou privadas.
  • Faça backup regularmente de seus e-mails importantes, pois isso ajudará a evitar a perda de dados em caso de falha do sistema ou problema de segurança.
  • Verifique regularmente suas configurações de privacidade e segurança de e-mail para garantir que estejam configuradas corretamente e de acordo com suas preferências.

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/ analisado
md5: 9bfecb5c5d267e5e9a16e4f60b0e17b4
sha1: 438ad5e55336d4a6b810608e5d28bd513e97d7c1
sha256: c2fc49a8b31c24723c9f49201bfe78bb1bfe87a28bfedbfac9b854c7e0d232b3

Indicadores de compromisso de artefato malicioso/ analisado
md5: 056bec8d5a54b681aa77ab12b27fabb0
sha1: 1516055e5a552fae12ffce19f60fd8205ce5abf6
sha256: 6edc1dfc162d45bc67b2fffd4f1c472a7d56dfc9daae27870cc9de94c2129848

2 Replies to “Golpe do boleto falso: entenda como funciona a ferramenta usada em fraude bancária e dicas para se proteger”

  1. Rafael Klein 2 anos ago

    Cara, acabei de ler um artigo bem legal sobre o golpe do boleto falso! O pessoal do ISH mandou super bem na explicação de como os criminosos usam essa ferramenta para aplicar as fraudes bancárias. E o melhor é que eles ainda deram dicas de como se proteger. Achei o conteúdo muito bem apresentado e fácil de entender. Vale a pena dar uma lida!

  2. Recebi de um cliente a confirmação de pagamento de uma mensalidade, no entanto o banco e o destinatário são diferentes de minha empresa, verifiquei os backups e meus arquivos originais continuam com a informação correta, solicitei ao cliente que encaminhasse a mensagem e nesta ultima o boleto possuia alteração no codigo de barras e linha digitavel.
    Tudo exceto isso permanece intacto.

    Confirmei com os demais clientes que tiveram fatura emitida na mesma data e o pagamento compensou corretamente, sendo assim suponho que foi algo em execução no cliente.

    Irei alertar sobre isso e incluir comentários desta página.

    Obrigado por compartilhar.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *