O site Linha Defensiva revelou e alertou para um novo vírus que apresenta um comportamento até hoje desconhecido no Brasil: o malware detecta quando um boleto é visualizado no navegador web, altera os números da linha digitável para desviar o destino do pagamento e corrompe o código de barras, impedindo o uso do mesmo.
Com a alteração dos boletos, mesmo quem não utiliza internet banking pelo PC pode ser vítima do golpe. Se o boleto for imprimido, por exemplo, ele continuará tendo os números incorretos e o dinheiro pago irá para uma conta diferente daquela que deveria receber o dinheiro. O valor e o vencimento do boleto não são alterados, de modo que não é possível perceber a fraude facilmente.
Mas como isto é feito?
Segundo o site Linha Defensiva o código não altera boletos de um site específico. Qualquer página que tiver uma linha digitável e a palavra “boleto” está sujeita a ser modificada. O vírus analisado pela Linha Defensiva envia os dados do boleto encontrados na página para um servidor, que informa ao vírus os novos dados para substituição. Esse processo acrescenta um pequeno atraso na exibição da página no navegador. Veja abaixo um exemplo de um boleto alterado pelo vírus:
 |
| Boleto de testes gerados com código da Caixa. |
 |
| Boleto alterado, com detalhe para diferenças na linha digitável e código de barras. |
Outros dados do boleto não são alterados, ou seja, os dados apresentados de forma legível não conferem com a linha digitável manipulada. O vírus também não modifica o logo do banco que acompanha o documento, o que significa que o logo e o número do banco nem sempre estarão corretos.
Em um teste realizado pela Linha Defensiva, o código do boleto era sempre do Banco Santander, apesar de boletos terem sido gerados com números da Caixa, Banco do Brasil, Itaú e Bradesco. A praga digital pode usar qualquer banco como conta de destino, já que a substituição ocorre em tempo real. É possível que esse mesmo vírus utilize contas de outros bancos, conforme necessidade ou interesse dos golpistas.
A praga não consegue alterar o código de barras. Por isso, ela tenta quebrar o código de barras existente na página. Ela faz isso acrescentando um elemento HTML “spam”. Essa marcação não existe no HTML, mas o que quebra o código de barras é o caractere “ ” – um espaço. Na prática, há “buracos” no meio do código de barras.
Boletos de contas de consumo (energia elétrica, telefone) não são alterados.
Como funciona o vírus?
Ao ser iniciado, o vírus tenta localizar a presença de softwares de segurança dos bancos e removê-los do computador. Ele também desabilita o firewall do Windows e copia a si mesmo com um nome aleatório e configura o Windows para iniciar esse arquivo junto com o sistema.
Além da capacidade de manipular boletos, o vírus traz ainda recursos de captura de senha do Facebook e Hotmail. Essas contas podem ser usadas para disseminar outras pragas digitais futuramente.
A praga fica em constante contato com um servidor de controle, que armazena informações sobre cada computador infectado, entre elas o endereço IP, o nome do computador e a localização geográfica.
A Linha Defensiva recebeu duas amostras de vírus com esse comportamento. Uma delas tem pouco mais de 400 KB de tamanho, e a outra cerca de 500 KB.
Como detectar o golpe?
Por limitações do vírus, é possível identificar o golpe de algumas formas:
- As linhas digitáveis dos boletos serão sempre parecidas
- O código de barras terá um “buraco” branco e será inválido
- O logo do banco não será sempre idêntico ao número do banco presente na linha digitável
O ataque é especialmente notório por conseguir “pular” para o mundo off-line, prejudicando mesmo aqueles que não utilizam internet banking, mas fazem, por exemplo, impressão de segunda via de boletos pela internet.
Confira abaixo imagens de boletos de testes gerados pelo site Linha Defensiva e logo embaixo a modificação feita pelo vírus. Os boletos de testes foram todos gerados com valor de R$ 420, emissão de 14/04 e vencimento 20/04. Esses valores não são alterados pelo vírus.
 |
| Boleto de testes gerado com código Bradesco |
 |
| Boleto modificado pelo vírus. |
 |
| Boleto de testes original com código e logo Itaú. |
 |
| Boleto modificado pelo vírus. |
 |
| Boleto de testes original do BB. |
 |
| Boleto modificado pelo vírus, observe que o código de quebra do código de barras falhou. |
Tags: alerta, alteração, antivírus, bancário, banco, boleto, códigos, facebook, hacker, hotmail, malware, vírus,
COMENTÁRIOS