A ISH Tecnologia alerta para o tipo de ataque identificado pela sua equipe. Trata-se do software malicioso “Reboleto” (ou “KL Reboleto”), que possui a capacidade de interceptar todos os e-mails recebidos por uma conta invadida, e então alterar os dados contidos em um documento que se encontre anexado, com foco em PDFs de boletos bancários.
A sua divulgação e venda é feita em anúncios de fóruns clandestinos e aplicativos de mensagens, como o Telegram. Além do software, é oferecida uma lista com milhares de credenciais, para que o criminoso possa cadastrar e verificar os e-mails recebidos. São credenciais obtidas das mais variadas formas, como tentativas de força bruta ou uso de outros malwares ou ransomwares. Abaixo, um exemplo desses anúncios:
“Neste ataque, o cibercriminoso atua como uma espécie de ‘intermediário’ entre o remetente e o destinatário dos e-mails”, explica Caique Barqueta, Analista de Malware da ISH. “Uma vez que ele tem acesso à conta da pessoa que receberá os arquivos, ele altera a composição do PDF recebido, fazendo com que o conteúdo chegue adulterado ao usuário final, como um boleto falso, por exemplo.”
A Inteligência da ISH revela que se trata de um software que já passou por diversas atualizações nos últimos anos. Na versão mais recente, de 2020, o programa consegue filtrar os e-mails interceptados, em busca de palavras-chave como “boleto”, “duplicatas”, “segue anexo”, entre outros, para então alterar a composição dos arquivos. Basta ao cibercriminoso informar o e-mail, senha e domínio, e importá-lo à plataforma em um arquivo de formato .txt.
Após a importação e interceptação, o software exibe inteiramente o corpo dos e-mails, com todo o texto, remetente e anexos. Então, por meio do programa Foxit PDF Editor, é feita a alteração dos dados do PDF anexado. No exemplo abaixo, feito pela ISH em um teste, o primeiro e-mail é o legítimo, e o segundo, enviado algumas horas depois e com formato idêntico, está adulterado, e possui um boleto falso:
O teste também revelou que é possível agendar o envio do e-mail fraudulento, para que não chegue em horário muito próximo do original, e assim diminua a suspeita por parte da vítima.
Prevenção
Uma vez que o ataque se “inicia” com o roubo das credenciais da vítima, como seu endereço de e-mail e senha, Barqueta ressalta que a forma mais importante de se prevenir contra possíveis problemas com o Reboleto está em aumentar a proteção de seus logins. Isso inclui medidas como:
• Usar senhas fortes e diferentes para cada conta. Evitar credenciais fáceis de adivinhar, como datas de aniversário, nomes comuns, ou qualquer informação sua que possa ser facilmente encontrada na internet;
• Ativar a autenticação em duas etapas (2FA). Por meio dela, o acesso só é permitido com o fornecimento de um código de segurança adicional, além da senha;
• Evitar clicar em links ou anexos suspeitos. Caso o remetente aparente ser oficial, como uma instituição financeira ou governamental, o ideal é se certificar por meio de algum portal de atendimento que aquela comunicação é legítima;
• Mantenha seus softwares antivírus e antimalware atualizados, e faça varreduras frequentes;
• Não utilize contas de e-mail públicas, como as gratuitas fornecidas por provedores desconhecidos, para enviar informações confidenciais ou privadas;
• Faça backups regularmente de seus e-mails mais sensíveis; isso ajuda a evitar a perda dos dados no caso de uma falha no sistema ou incidente de segurança;
• Verifique com frequência suas configurações de privacidade e segurança no seu provedor de e-mail de escolha, para que estejam configuradas de acordo com suas preferências.
