安全加

beta

推荐

安全头条

安全知识

登录注册
首页>安全头条>

下载 | Boleto巴西最大支付系统 存在严重漏洞 恶意软件可劫持交易

Bloware恶意软件 恶意软件 DNS劫持 Boleto银行木马

Boleto支付系统在巴西境内大量支持使用,针对它的恶意软件及变种甚至被用来直接在ATM机中盗取现金。 正如赛门铁克的一份新白皮书所述 ,Boleto恶意软件试图拦截和操纵合法的Boletos,以便将Boleto的钱发送给攻击者而不是原始收件人。 各种Boleto恶意软件家族可能通过垃圾邮件活动或DNS劫持抵达受感染的计算机。

巴西已成为近年来出现的一些恶意软件家族的目标,以利用仅在该国境内使用的支付系统。 这些攻击的目标是Boleto支付系统,尽管它对巴西来说是独一无二的,但据估计黑客的回报相当于数百万美元。

Boleto恶意软件(或Bolware)的出现反映了网络犯罪本地化的趋势。 攻击不再仅仅关注最大的目标,一些新的威胁针对的是非常具体的市场。 例如,在墨西哥,Backdoor.Ploutus和它的变种被用来直接来自全国各地的ATM机盗取现金。在中东,攻击者组织已经开始使用一种名为njRAT的简单恶意软件  。虽然它的功能与许多其他远程访问工具(RAT)一样,但njRAT在该地区很受欢迎,因为它是由阿拉伯语发音人员开发和支持的。

虽然这些攻击与Boleto攻击在几个方面有所不同,但它们可能会说明攻击者攻击Boleto恶意软件的路径。

什么是Boleto?


Boleto(BoletoBancário的简称)是巴西特有的流行支付系统。 Boleto类似于发票,可用于支付发行Boleto(包括企业和个人)的任何人。 Boletos受巴西银行联合会(FEBRABAN)监管,并提供可访问的支付系统。 任何拥有银行账户的人都可以发行银行账户,并且不需要银行账户来支付账户。

每个Boleto都有发卡银行的名称,这是付款的原因,欠款额度,到期日期,唯一ID号码和列在其上的条码。 身份证号码和条形码包含所有相关的付款信息,通过输入身份证号码或扫描条码,使Boletos更易于支付。 当第一次使用Boletos(1993年)时,它们只能以纸质格式发行,但现在它们经常以电子方式发行,并且可以使用身份证号码或条形码在线支付。


图1.支付Boleto的方式有多种,例如银行,在线或移动设备

即使在Boletos以电子方式发行之前,人们已经开始制造欺诈性的Boletos,用他们的钱骗取受害者。 随着电子Boletos的到来,攻击者变得更加大胆,并开始制造更复杂的欺诈行为,并最终以针对Boleto用户的恶意软件为目标。

Boleto恶意软件如何工作?

Boleto恶意软件主要有三个家族 - Trojan.Eupuds,Infostealer.Boleteiro和Infostealer.Domingo - 虽然它们之间存在差异,但它们的主要目的是相同的。正如赛门铁克的一份新白皮书所述 ,Boleto恶意软件试图拦截和操纵合法的Boletos,以便将Boleto的钱发送给攻击者而不是原始收件人。 各种Boleto恶意软件家族可能通过垃圾邮件活动或DNS劫持抵达受感染的计算机。


图2. Boleto恶意软件改变合法身份证号码和条形码,将付款重定向到攻击者控制的账户

Eupuds,Boleteiro和Domingo都能够劫持受害者的​​网络浏览器并检测是否显示Boleto。 一旦Boleto被发现,恶意软件会改变Boleto本身的ID号码或条形码,以便受害者不会向预定的收款人支付金钱,而是向攻击者发送金钱。 在任何情况下,恶意软件都会更改Boleto上的ID号码,以将付款指向攻击者控制的帐户。 这种策略可以与条形码的操纵一起使用。 有时恶意软件会用符合攻击者提供的ID号码的条码代替恶意软件,而在其他情况下恶意软件会使条码无法读取,这意味着受害者必须通过输入攻击者提供的ID号码进行付款。

各种Boleto恶意软件使用多种不同的手段劫持受害者的​​网络浏览器,例如浏览器中的人(MITB)攻击,恶意的浏览器助手对象(BHO),恶意的Chrome扩展和文档对象模型( DOM)在Internet Explorer中的操作。

Infostealer.Domingo也能够改变保存在受损计算机上的Boletos信息。 恶意软件可能会扫描受感染计算机的驱动器以查找已保存的Boletos。 如果找到保存的Boleto,Domingo将更改ID号和条形码。

操纵实际的Boleto并不是攻击者利用Boleto恶意软件家族窃取资金的唯一手段。 Trojan.Eupuds可以阻止通过巴西银行的在线银行服务进行的付款。 该恶意软件可以监控浏览器流量,并识别受害者输入Boleto ID号码的时间。 然后,Eupud可能会更改身份证号码,以便将来自Boleto的钱发送给攻击者,而不是发送给用户输入的收件人ID。

Boleto恶意软件可以做其他事情吗?

一些Boleto恶意软件家族可能能够对受感染的计算机执行其他攻击。 Infostealer.Boleteiro可能会从受感染的计算机上窃取网上银行和电子邮件凭据。 然后它可以使用这些信息访问受害者的账户并窃取金钱或信息。 除了这些证书外,Boleteiro和Eupuds还能够窃取微软live.com的登录信息。

缓解措施

为避免遭受Boleto恶意软件的攻击,Symantec建议采取以下最佳做法:

  • 接收未经请求的,意外的或可疑的电子邮件时请小心。

  • 避免打开附件并点击未经请求,意外或可疑电子邮件中的链接。
  • 保持最新的防病毒软件和操作系统。
  • 避免使用可疑的Boletos。

    • 如果条形码不起作用,请检查并确保尚未操作。
    • 将身份证号码与以前的Boletos进行比较。 在大多数情况下,如果他们来自同一家公司,身份证号码的前半部分不会改变。
  • 考虑使用更安全的支付方式,例如授权的直接借记卡(DDA-Debito Direto Autorizado)来支付常规账单。

Boleto支付系统恶意软件白皮书下载

文章附件

文章无附件

*文章为作者独立观点,不代表安全加立场

本文由:安全加发布,版权归属于原作者。 如果转载,请注明出处及本文链接:

如果此文章侵权,请留言,我们进行删除。

作者

您可能对以下关键词感兴趣哟,请用鼠标滑过或点击关键词 :

相关文章

无相关文章
无相关文章

参与讨论

0/300 发表评论
当前无评论

快速注册

请填写正确的邮箱格式,不能为空
请填写验证码
密码应为数字、字母、英文标点符号,长度为6-14位
两次密码不统一
立即注册

已有账号?

登录忘记密码

快速登录

手机号或邮箱不存在
密码错误请重新输入
立即登录

还没有账号?

注册忘记密码
© 2018 安全加 社区. All Rights Reserved.