{"id":4349,"date":"2014-07-18T08:00:00","date_gmt":"2014-07-18T11:00:00","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/por-dentro-bolware"},"modified":"2022-04-29T00:34:10","modified_gmt":"2022-04-29T03:34:10","slug":"por-dentro-bolware","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/por-dentro-bolware\/","title":{"rendered":"O que \u00e9 Bolware, como ele age e como voc\u00ea pode se proteger"},"content":{"rendered":"\n

Como o Bolware infecta o seu computador<\/h2>\n\n\n\n

A infec\u00e7\u00e3o acontece ap\u00f3s o usu\u00e1rio baixar um arquivo ZIP<\/strong> contendo um arquivo chamado Receita Federal.cpl<\/strong> que, quando executado, faz o download de 2 novos arquivos: gbiehamz.cpl<\/strong> e resource.bck<\/strong>; e inicializa o processo gbiehamz.cpl<\/strong>, respons\u00e1vel por monitorar o uso dos navegadores e fazer a inje\u00e7\u00e3o do c\u00f3digo malicioso que modifica a linha digit\u00e1vel do c\u00f3digo de barras<\/strong> de boletos de pagamento.<\/p>\n\n\n\n

O v\u00edrus passa a vigiar o usu\u00e1rio<\/h2>\n\n\n\n

Para monitorar o uso dos browsers<\/strong>, o malware<\/strong> utiliza um procedimento bem simples. Ele implementa dentro de um timer<\/strong> \u2013 componente da linguagem Delphi que executa determinado c\u00f3digo a cada fra\u00e7\u00e3o de segundo \u2013 a verifica\u00e7\u00e3o da janela que est\u00e1 em uso pelo usu\u00e1rio, utilizando a fun\u00e7\u00e3o GetForegroundWindow()<\/strong>, conforme c\u00f3digo abaixo:<\/p>\n\n\n\n

C\u00f3digo que verifica o t\u00edtulo da janela em uso<\/div>\n\n\n\n

Ap\u00f3s capturar o handle<\/strong> para a janela em uso, o Bolware<\/strong> utiliza as fun\u00e7\u00f5es GetWindowText()<\/strong> e SendMessage()<\/strong> do Windows para identificar o t\u00edtulo da janela e confirmar se o usu\u00e1rio est\u00e1 acessando um servi\u00e7o monitorado pela Gangue do Boleto<\/strong>.<\/p>\n\n\n\n

Caso o t\u00edtulo esteja entre os vigiados pelos criminosos, o Bolware<\/strong> verifica se o browser utilizado \u00e9 o Internet Explorer<\/strong>. Se o navegador for o Firefox ou Chrome, o malware<\/strong> fecha os programas, impedindo os seus usos para acessar o Internet Banking<\/strong>, for\u00e7ando o usu\u00e1rio a utilizar o IE<\/strong>, que vem instalado por padr\u00e3o em qualquer computador com Windows e n\u00e3o possui op\u00e7\u00e3o de desinstala\u00e7\u00e3o.<\/p>\n\n\n\n

C\u00f3digo que fecha o processo do Firefox ou Chrome<\/div>\n\n\n\n

Se ele n\u00e3o conseguir identificar o servi\u00e7o pelo t\u00edtulo, ele verifica a URL<\/strong> que est\u00e1 sendo acessada e compara com a lista de alvos do malware<\/strong>. Este m\u00e9todo de captura de URLs<\/strong> s\u00f3 funciona no Internet Explorer<\/strong>, pois ele busca por elementos espec\u00edficos do IE<\/strong>, at\u00e9 encontrar a barra de endere\u00e7os, e ent\u00e3o captura seu conte\u00fado.<\/p>\n\n\n\n

C\u00f3digo que procura o campo da barra de endere\u00e7os<\/div>\n\n\n\n

O c\u00f3digo<\/strong> acima procura pelo campo onde fica registrado o endere\u00e7o visitado pelo usu\u00e1rio, obt\u00e9m o handle<\/strong> para este campo e captura a informa\u00e7\u00e3o. Veja abaixo a hierarquia dos campos pesquisados.<\/p>\n\n\n\n

Hierarquia dos componentes do IE<\/div>\n\n\n\n

Ap\u00f3s ter acesso \u00e0 informa\u00e7\u00e3o e identificar que o usu\u00e1rio est\u00e1 navegando em um site alvo da gangue do boleto<\/strong>, ele inicia o processo de carregamento do outro m\u00f3dulo, j\u00e1 baixado pelo downloader<\/strong>, por\u00e9m compactado no arquivo resource.bck<\/strong>.<\/p>\n\n\n\n

Este arquivo compactado ser\u00e1 carregado para a mem\u00f3ria<\/strong> de maneira n\u00e3o convencional. E, para dificultar a sua detec\u00e7\u00e3o, o malware<\/strong> utiliza uma t\u00e9cnica conhecida como \u201cProcess Hollowing\u201c<\/strong>.<\/p>\n\n\n\n

Entenda o Process Hollowing<\/h2>\n\n\n\n

A t\u00e9cnica consiste em carregar um processo confi\u00e1vel para a mem\u00f3ria, substituindo o c\u00f3digo existente pelo c\u00f3digo malicioso, escondendo a execu\u00e7\u00e3o do processo malicioso<\/strong>.<\/p>\n\n\n\n

No caso do Bolware, ele utiliza o Internet Explorer para esconder seu c\u00f3digo, carregando o processo iexplore.exe<\/strong> para a mem\u00f3ria em modo suspenso, utilizando a flag CREATE_SUSPENDED<\/strong> na chamada CreateProcessA<\/strong>, conforme podemos verificar na imagem abaixo:<\/p>\n\n\n\n

Cria\u00e7\u00e3o do processo em modo suspenso para hospedar o c\u00f3digo malicioso<\/div>\n\n\n\n

Com o processo carregado, o v\u00edrus<\/strong> captura o contexto da thread<\/strong>, copia o c\u00f3digo do malware<\/strong> descompactado para o processo e inicia a thread<\/strong> que estava suspensa, fazendo com que o c\u00f3digo do malware<\/strong> seja executado.<\/p>\n\n\n\n

GetThreadContext e aloca\u00e7\u00e3o de mem\u00f3ria para receber o c\u00f3digo do malware<\/div>\n\n\n\n

<\/p>\n\n\n\n

Escrevendo o c\u00f3digo na \u00e1rea alocada e resumindo a thread suspensa<\/div>\n\n\n\n

Ap\u00f3s este procedimento, o c\u00f3digo malicioso<\/strong> estar\u00e1 sendo executado como iexplore.exe<\/strong>, dificultando, assim, a identifica\u00e7\u00e3o do malware<\/strong>.<\/p>\n\n\n\n

Bolware usa dois m\u00e9todos para saber por onde voc\u00ea navega<\/h2>\n\n\n\n

O m\u00f3dulo carregado verifica se o usu\u00e1rio abriu algum site alvo de duas maneiras: a primeira, da mesma forma que o processo anterior, verificando se existe alguma janela do IE<\/strong> aberta com t\u00edtulos espec\u00edficos.<\/p>\n\n\n\n

A segunda, recebendo o evento OnDocumentComplete<\/strong> do IE<\/strong>, ou seja, toda vez que um site termina de ser carregado pelo browser<\/strong>, ele chama uma callback<\/strong> que tem, num dos argumentos, a URL carregada. Nesta callback<\/strong>, o malware<\/strong> verifica se a URL<\/strong> \u00e9 referente a algum alvo controlado e ativa o monitoramento de gera\u00e7\u00e3o de boletos<\/strong>.<\/p>\n\n\n\n

Como o malware faz a troca dos dados do boleto banc\u00e1rio<\/strong><\/h2>\n\n\n\n

Ao identificar uma URL relacionada a pagamento de boletos, o Bolware<\/strong> detecta a qual banco pertence e, ent\u00e3o, adiciona um evento para o clique do bot\u00e3o \u201csubmit\u201c<\/strong>, que ser\u00e1 disparado ap\u00f3s o usu\u00e1rio terminar de digitar o c\u00f3digo do boleto<\/strong> e clicar para continuar o processo de pagamento.<\/p>\n\n\n\n

Exemplo de formul\u00e1rio de pagamento de boleto, etapa em que ocorre a captura de dados<\/div>\n\n\n\n

Ao receber este evento, o malware<\/strong> procura pelo campo onde est\u00e1 armazenado o boleto digitado<\/strong>, captura o conte\u00fado do campo e envia para o servidor, que ir\u00e1 gerar uma nova linha digit\u00e1vel<\/strong>, com a conta de destino alterada.<\/p>\n\n\n\n

C\u00f3digo do boleto original capturado<\/div>\n\n\n\n

Ap\u00f3s substituir a linha digit\u00e1vel<\/strong>, a transa\u00e7\u00e3o continua com o novo c\u00f3digo, fazendo com que a transa\u00e7\u00e3o seja conclu\u00edda com sucesso, por\u00e9m a conta destino ser\u00e1 outra, desviando o seu dinheiro para a gangue do boleto<\/strong> e criando problemas para voc\u00ea com as empresas cedentes do boleto banc\u00e1rio<\/strong>.<\/p>\n\n\n\n

Como proteger-se do Bolware<\/h2>\n\n\n\n

Com o PSafe Total para Windows, voc\u00ea est\u00e1 protegido contra Bolware<\/strong> e assegura a sa\u00fade do seu computador por meio do seu completo sistema de prote\u00e7\u00e3o, que inclui as fun\u00e7\u00f5es de Defesa Proativa, ativada imediatamente ap\u00f3s a inicializa\u00e7\u00e3o do sistema e que monitora toda atividade suspeita que pode danificar o equipamento, e Prote\u00e7\u00e3o \u00e0s Compras Online, que endurece a seguran\u00e7a em transa\u00e7\u00f5es financeiras online, similar a utilizada pelos bancos na atualidade.<\/p>\n\n\n\n

Entenda mais sobre a Gangue do Boleto<\/strong><\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

O Laborat\u00f3rio de An\u00e1lise de Malwares da PSafe explica como age a \u201cGangue do Boleto\u201d, acusada de desviar R$ 8,2 bi, e faz uma an\u00e1lise do problema.<\/p>\n","protected":false},"author":114,"featured_media":63617,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[555],"tags":[376,11968,4851,12049,1564],"class_list":["post-4349","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberataques","tag-brasil","tag-definicao","tag-google-chrome","tag-internet-explorer","tag-mozilla-firefox"],"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/114"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=4349"}],"version-history":[{"count":0,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4349\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media\/63617"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=4349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=4349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=4349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}