A infec\u00e7\u00e3o acontece ap\u00f3s o usu\u00e1rio baixar um arquivo ZIP<\/strong> contendo um arquivo chamado Receita Federal.cpl<\/strong> que, quando executado, faz o download de 2 novos arquivos: gbiehamz.cpl<\/strong> e resource.bck<\/strong>; e inicializa o processo gbiehamz.cpl<\/strong>, respons\u00e1vel por monitorar o uso dos navegadores e fazer a inje\u00e7\u00e3o do c\u00f3digo malicioso que modifica a linha digit\u00e1vel do c\u00f3digo de barras<\/strong> de boletos de pagamento.<\/p>\n\n\n\n Para monitorar o uso dos browsers<\/strong>, o malware<\/strong> utiliza um procedimento bem simples. Ele implementa dentro de um timer<\/strong> \u2013 componente da linguagem Delphi que executa determinado c\u00f3digo a cada fra\u00e7\u00e3o de segundo \u2013 a verifica\u00e7\u00e3o da janela que est\u00e1 em uso pelo usu\u00e1rio, utilizando a fun\u00e7\u00e3o GetForegroundWindow()<\/strong>, conforme c\u00f3digo abaixo:<\/p>\n\n\n\n Ap\u00f3s capturar o handle<\/strong> para a janela em uso, o Bolware<\/strong> utiliza as fun\u00e7\u00f5es GetWindowText()<\/strong> e SendMessage()<\/strong> do Windows para identificar o t\u00edtulo da janela e confirmar se o usu\u00e1rio est\u00e1 acessando um servi\u00e7o monitorado pela Gangue do Boleto<\/strong>.<\/p>\n\n\n\n Caso o t\u00edtulo esteja entre os vigiados pelos criminosos, o Bolware<\/strong> verifica se o browser utilizado \u00e9 o Internet Explorer<\/strong>. Se o navegador for o Firefox ou Chrome, o malware<\/strong> fecha os programas, impedindo os seus usos para acessar o Internet Banking<\/strong>, for\u00e7ando o usu\u00e1rio a utilizar o IE<\/strong>, que vem instalado por padr\u00e3o em qualquer computador com Windows e n\u00e3o possui op\u00e7\u00e3o de desinstala\u00e7\u00e3o.<\/p>\n\n\n\n Se ele n\u00e3o conseguir identificar o servi\u00e7o pelo t\u00edtulo, ele verifica a URL<\/strong> que est\u00e1 sendo acessada e compara com a lista de alvos do malware<\/strong>. Este m\u00e9todo de captura de URLs<\/strong> s\u00f3 funciona no Internet Explorer<\/strong>, pois ele busca por elementos espec\u00edficos do IE<\/strong>, at\u00e9 encontrar a barra de endere\u00e7os, e ent\u00e3o captura seu conte\u00fado.<\/p>\n\n\n\n O c\u00f3digo<\/strong> acima procura pelo campo onde fica registrado o endere\u00e7o visitado pelo usu\u00e1rio, obt\u00e9m o handle<\/strong> para este campo e captura a informa\u00e7\u00e3o. Veja abaixo a hierarquia dos campos pesquisados.<\/p>\n\n\n\n Ap\u00f3s ter acesso \u00e0 informa\u00e7\u00e3o e identificar que o usu\u00e1rio est\u00e1 navegando em um site alvo da gangue do boleto<\/strong>, ele inicia o processo de carregamento do outro m\u00f3dulo, j\u00e1 baixado pelo downloader<\/strong>, por\u00e9m compactado no arquivo resource.bck<\/strong>.<\/p>\n\n\n\n Este arquivo compactado ser\u00e1 carregado para a mem\u00f3ria<\/strong> de maneira n\u00e3o convencional. E, para dificultar a sua detec\u00e7\u00e3o, o malware<\/strong> utiliza uma t\u00e9cnica conhecida como \u201cProcess Hollowing\u201c<\/strong>.<\/p>\n\n\n\n A t\u00e9cnica consiste em carregar um processo confi\u00e1vel para a mem\u00f3ria, substituindo o c\u00f3digo existente pelo c\u00f3digo malicioso, escondendo a execu\u00e7\u00e3o do processo malicioso<\/strong>.<\/p>\n\n\n\n No caso do Bolware, ele utiliza o Internet Explorer para esconder seu c\u00f3digo, carregando o processo iexplore.exe<\/strong> para a mem\u00f3ria em modo suspenso, utilizando a flag CREATE_SUSPENDED<\/strong> na chamada CreateProcessA<\/strong>, conforme podemos verificar na imagem abaixo:<\/p>\n\n\n\n Com o processo carregado, o v\u00edrus<\/strong> captura o contexto da thread<\/strong>, copia o c\u00f3digo do malware<\/strong> descompactado para o processo e inicia a thread<\/strong> que estava suspensa, fazendo com que o c\u00f3digo do malware<\/strong> seja executado.<\/p>\n\n\n\n <\/p>\n\n\n\n Ap\u00f3s este procedimento, o c\u00f3digo malicioso<\/strong> estar\u00e1 sendo executado como iexplore.exe<\/strong>, dificultando, assim, a identifica\u00e7\u00e3o do malware<\/strong>.<\/p>\n\n\n\n O m\u00f3dulo carregado verifica se o usu\u00e1rio abriu algum site alvo de duas maneiras: a primeira, da mesma forma que o processo anterior, verificando se existe alguma janela do IE<\/strong> aberta com t\u00edtulos espec\u00edficos.<\/p>\n\n\n\n A segunda, recebendo o evento OnDocumentComplete<\/strong> do IE<\/strong>, ou seja, toda vez que um site termina de ser carregado pelo browser<\/strong>, ele chama uma callback<\/strong> que tem, num dos argumentos, a URL carregada. Nesta callback<\/strong>, o malware<\/strong> verifica se a URL<\/strong> \u00e9 referente a algum alvo controlado e ativa o monitoramento de gera\u00e7\u00e3o de boletos<\/strong>.<\/p>\n\n\n\n Ao identificar uma URL relacionada a pagamento de boletos, o Bolware<\/strong> detecta a qual banco pertence e, ent\u00e3o, adiciona um evento para o clique do bot\u00e3o \u201csubmit\u201c<\/strong>, que ser\u00e1 disparado ap\u00f3s o usu\u00e1rio terminar de digitar o c\u00f3digo do boleto<\/strong> e clicar para continuar o processo de pagamento.<\/p>\n\n\n\nO v\u00edrus passa a vigiar o usu\u00e1rio<\/h2>\n\n\n\n
Entenda o Process Hollowing<\/h2>\n\n\n\n
Bolware usa dois m\u00e9todos para saber por onde voc\u00ea navega<\/h2>\n\n\n\n
Como o malware faz a troca dos dados do boleto banc\u00e1rio<\/strong><\/h2>\n\n\n\n