Uma campanha de spam malicioso tem afetado diversos brasileiros nos últimos meses. De acordo com a Unit 42, unidade de pesquisa da Palo Alto Networks, boletos faltos estão sendo utilizados para a distribuir malware. Com isso, criminosos podem roubar dados dos computadores das vítimas, incluindo senhas e nomes de usuários.
A campanha, chamada de “Boleto Mestre” pela equipe de pesquisa, já distribuiu 261.098 e-mails desde junho de 2017, com mensagens que continham títulos como “Envio de Boleto – URGENTE”.
Na imagem, um hiperlink disfarçado cria conexão entre o computador da vítima e um servidor usado pelos criminosos. Ao clicar, é iniciado o download de um malware do tipo Trojan. Os hosts do Windows infectados por esta campanha geram tráfego de texto simples em IRC (protocolo de comunicação utilizado para chats, bate-papo, e troca de arquivo). Todos os hosts infectados então se juntam ao canal #MESTRE. Esse tipo de tráfego IRC é único, nunca visto antes para campanhas de malspam baseadas no Brasil. Por este motivo, a Unit 42 está chamando a campanha de “Boleto Mestre”.
A vítima clica em um link do e-mail ou arquivo PDF anexado, que retorna um arquivo VBS infectado. Na sequência, clica duas vezes no arquivo VBS (Visual Basic). Mais arquivos são baixados para o host Windows infectado. Tráfego de check-in inicial com link comprometido www.petr4 [.] In. O host infectado começa a se comunicar através do IRC com a máquina do criminoso.
