Documente Academic
Documente Profesional
Documente Cultură
Um Estudo do TrendLabsSM
ndice
Participantes do
submundo
Ofertas no submundo
brasileiro
28
Desafios frente
SEO 1
Participantes do submundo
Participantes do submundo
Os cibercriminosos brasileiros operam sozinhos ou em grupos, apesar de geralmente preferirem trabalhar
individualmente. Eles podem ser classificados em duas categorias desenvolvedores e operadores.
Os desenvolvedores so indivduos instrudos que transformaram o cibercrime em um trabalho lucrativo.
Eles ajudam seus colegas cibercriminosos fornecendo malware que eles mesmos criaram. Ao contrrio de
cibercriminosos de outras regies, eles no usam tanto a Deep Web. Como j foi dito, os cibercriminosos
brasileiros tm pouca ou nenhuma considerao pela polcia. Sua audcia permite levar suas operaes
para a Surface Web a parte da Internet que, ao contrrio da Deep Web, indexada pelos sites de
busca. Eles usam as plataformas de redes sociais como Facebook, Twitter, YouTube, Skype e
WhatsApp, alm de Internet Relay Chat (IRC), TorChat e fruns para transaes de negcios.
J os operadores adquirem ferramentas maliciosas dos desenvolvedores e buscam o lucro usando-as
contra determinados alvos.
Desenvolvedores
Os desenvolvedores tpicos so jovens e tm um conhecimento prtico de criao de software. Na
maioria das vezes, so estudantes que adquiriram suas habilidades na escola. Facilidade de acesso a
ferramentas e treinamentos de malware, alm de suas circunstncias financeiras, poderiam ser alguns
dos fatores que os levaram a comear a se aventurar no submundo. A fragilidade das leis do Brasil contra
o cibercrime tambm os tornam ousados o bastante para anunciar publicamente seu sucesso.
Um desses desenvolvedores o famoso Lordfenix, de 20 anos, de quem falamos em junho de 2015. Esse
estudante de cincia da computao conseguiu criar mais de 100 cavalos de Troia bancrios que podem
contornar as medidas de segurana dos bancos brasileiros. Isso fez com que ele ficasse famoso como
um dos principais criadores de malware bancrio do pas. Supe-se que ele comeou a desenvolver seu
prprio malware quando ainda estava no ensino mdio.
Figura 2: Mensagem com o assunto, Aviso: As frias acabaram, que Lordfenix enviou aos operadores de seu
malware; poderia significar que ele ento teria mais tempo para trabalhar em suas criaes maliciosas
Figura 3: Postagem de Lordfenix se gabando do lucro gerado por seus cavalos de Troia
Ns investigamos outro desenvolvedor profissional conhecido como Anntrax que publicou um vdeo
anunciando um cavalo de Troia bancrio de sua autoria. Ele continua sendo um participante ativo no
submundo at hoje. Uma captura de tela de seu computador mostra que ele usa parties de disco.
Especialmente interessante foi sua partio TRABALHO, que continha vrios diretrios de criaes
maliciosas como keyloggers, crypters e exploit kits.
Operadores
Diferente dos desenvolvedores, que vendem suas criaes para colegas cibercriminosos, os operadores
interagem com as vtimas reais. Eles compram malware dos desenvolvedores ou alugam a infraestrutura
de cibercriminosos atravs do modelo de negcios Crime-Como-um-Servio (de Crime-as-a Service ou
CaaS). Seu modus operandi varia, dependendo de como eles usam as mercadorias que compram. O
cibercriminoso por trs do FighterPoS um operador. As agncias policiais podem apreender com mais
facilidade os operadores, mas tm mais trabalho para rastrear os desenvolvedores de malware.
Em agosto de 2015, a Polcia Civil do Estado de Gois prendeu 20 pessoas envolvidas em clonagem
de cartes bancrios e outros tipos de fraude4. Esses presos supostamente roubaram um total de US$
200.000 dlares.
SEO 2
Ofertas no submundo
brasileiro
Ofertas no submundo
brasileiro
O submundo brasileiro est lotado de malware bancrio, o que pode ser em grande parte atribudo
contnua popularidade do banco online5 no pas. H tambm algumas novidades, como o ransomware
multiplataforma e regional (feito no Brasil e em portugus), aplicativos Android modificados e servios
relacionados a informaes pessoalmente identificveis. Os tutoriais continuam populares pois ajudam
os novatos do cibercrime a aprender truques importantes do negcio. Alguns instrutores podem tambm
usar esses cursos para recrutar membros para suas gangues.
O modus operandi criminoso tpico das ruas do Brasil se tornou digital e est atualmente agitando o
mercado do submundo no pas. Ns vimos, por exemplo, diplomas escolares falsos e dinheiro falsificado
venda.
Figura 6: Postagem anunciando apps Android modificados para que os usurios comprassem crditos
pr-pagos com credencias de cartes de crdito roubados
Esse surgimento de ofertas no submundo pode ser atribudo grande taxa de penetrao dos dispositivos
mveis no Brasil (142% at abril de 2015)7. A maioria dos brasileiros at acessava a web atravs de
dispositivos mveis ao invs de computadores. Mesmo as empresas e organizaes incentivam os
clientes a usar dispositivos mveis para todos os tipos de transaes de negcios.
_________
* A taxa de cmbio de 16 de dezembro de 2015 foi usada em todo esse estudo (1 BTC = US$ 461,26)
Japo
12%
Vietn
9%
EUA
9%
ndia
6%
Brasil
5%
Turquia
4%
China
4%
Reino Unido
4%
Filipinas
4%
Tailndia
3%
Outros
40%
Figura 8: O Brasil foi responsvel por 5% do nmero total de deteces de malware para banco online
no terceiro trimestre de 20159
Com base em nossa pesquisa, alguns malware bancrios conseguiram bloquear as telas de computador
ou dispositivo mvel depois de verificaes de segurana terem sido feitas enquanto os agressores
transferiam dinheiro ilegalmente em segundo plano. Esse recurso deu muito trabalho para as agncias
policiais ao rastrear os cibercriminosos responsveis.
Malware KAISER
O malware KAISER pode contornar o sistema de token baseado em tempo do Sicredi, entre outros. Eles
tambm podem colocar em grande risco clientes do Banco do Brasil, Ita, HSBC, Santander e Bradesco.
Os operadores normalmente enviam spam para infectar usurios com o KAISER. Sempre que o usurio
de um sistema infectado visita o site de um dos bancos alvos, o KAISER registra as teclas digitadas. Os
cibercriminosos, ento, ganham acesso aos nmeros da conta bancria.
O KAISER tambm abria uma janela (em cima das verdadeiras) para que os cibercriminosos pudessem
obter os tokens das vtimas. Quando analisamos uma amostra do KAISER, descobrimos uma janela
falsa (com um formulrio falso) que pedia que as vtimas inserissem seus tokens quando o Sicredi
(supostamente) os solicitava. Ao preencher esse formulrio, o token enviado para o operador do
KAISER que ento congela o computador ou o dispositivo mvel da vtima enquanto transfere o mximo
de dinheiro possvel para suas prprias contas.
Keyloggers Proxy
Os Keyloggers Proxy so conhecidos por direcionar o navegador das vtimas para pginas de phishing
todas as vezes que acessam os sites oficiais dos bancos alvos em computadores infectados. Eles tm
um recurso de acesso remoto de desktop que permite aos cibercriminosos acessar ou controlar as telas
das vtimas. Certas variantes tinham scripts PAC (Proxy Auto Configuration) que permitiam escolher quais
servidores proxy usar (de preferncia os que no podiam ser rastreados de volta para os operadores).
Encontramos uma postagem vendendo uma variante Proxy que tinha um recurso de acesso remoto e
vinha com um crypter personalizvel por R$ 5.000. Os compradores podem registrar as teclas digitadas
de at 15 sites, inclusive os do PayPal e do HSBC. Eles at tm acesso a servios de suporte 24 horas.
Keyloggers Remotos
Os keyloggers remotos tm a capacidade de falsificar todos os tipos de janelas de navegador, sempre
que os usurios acessam os sites do banco alvo usando os computadores infectados. E por R$ 2.000,
os operadores obtm suporte total e atualizaes a cada semana.
Alteradores de DNS
Cdigos de fonte completos para alteradores de Sistemas de Nome de Domnios (DNS) so vendidos
por R$ 5.000 no submundo brasileiro. Os preos podem variar dependendo do nvel de conhecimento do
vendedor, linguagem de programao usada e rotinas de infeco. Ofertas como essas chegam em um
arquivo .ZIP com instrues detalhadas de uso e amostras de malware, quando compradas.
Figura 13: Exemplos de contedo de pacotes compilados de malware DNS vendidos no submundo
Treinamento de cibercrime
Carding
Encontramos um anncio para um treinamento de carding de trs meses de durao no submundo
brasileiro. O curso inclui aulas para criar malware, configurar botnets e obter dados de cartes de crdito
das vtimas, entre outros. No primeiro ms, os alunos so ensinados a obter acesso a uma base de
dados e roubar credenciais de carto de crdito. Depois, aprendem o que fazer quando uma compra
feita com um carto de crdito roubado aprovada, e como proceder caso sua mula de dinheiro
falhar. No segundo ms, os estudantes aprendem a clonar cartes (fisicamente) e a criar cavalos de
Troia (variantes Proxy e remotos, juntamente com cavalos de Troia bancrios com recursos de conexo
reversa). No ltimo ms, eles descobrem como criar crypters usando AutoIt, Visual Basic 6.0 e Visual
Basic .NET, e tambm a configurar uma botnet ZeuS ou Solar, entre outras coisas. Por R$ 300, pagos via
PagSeguro, os aspirantes a cibercriminosos e os novatos podem aprender a criar suas prprias variantes
de malware e pginas de phishing para roubar suas vtimas com a ajuda de mulas de dinheiro locais.
A venda de tutoriais sobre cibercrime deve ser lucrativa, pois essa a segunda vez que vemos este
instrutor em particular oferecendo treinamento de carding usando mdulos atualizados.
Programao de crypter
Por apenas R$ 200, os cibercriminosos j podem ter um treinamento de programao de crypter
com suporte online via Skype. Eles tambm ensinam os alunos a tornarem seus crypters totalmente
indetectveis (FUD) usando o Visual Basic 6.0. Os alunos tambm recebem um vdeo de 1 hora e meia
como material suplementar, juntamente com acesso grtis a vdeos atualizados.
Figura 16: Postagem anunciando acesso a painis de administrao de loja online comprometidos
Conseguimos entrar em contato com um vendedor desse servio que vendia acesso a painis
comprometidos que dava 40 credenciais de carto de crdito por dia por R$ 300, durante 21 dias (trs
semanas). Para ter acesso a 70 conjuntos de credenciais de carto de crdito por dia, os compradores
precisariam desembolsar R$ 500 por 14 dias (duas semanas). O vendedor at oferecia acesso a 170
credenciais por dia durante 20 dias a um preo especial de R$ 1.000.
Preo
R$ 200
R$ 400
R$ 700
Oferta
Preo
R$ 100
R$ 200
R$ 300
Figura 19: Postagem anunciando credenciais de carto de crdito venda (note que os nmeros
no vm de bases de dados de cartes de crdito roubados).
Skimmers de PDVs
Como no submundo chins, os cibercriminosos no Brasil tambm vendem skimmers para PDVs. Eles so
usualmente baseados em mquinas Verifone VX 680 e custam R$ 8.000. Os cibercriminosos modificavam
os terminais PDV para poder roubar as informaes armazenadas na tarja magntica de todos os cartes
de crdito passados neles. Ns vimos at o gripper12 (um cibercriminoso) vender skimmers em massa
para PDVs e caixas eletrnicos em 2014.
Figura 22: Anncio de produtos comprados com cartes de crdito roubados venda
Alm dos servios reais, treinamentos para ajudar outros cibercriminosos a conseguir a aprovao de
compras adquiridas com cartes de crditos fraudulentas tambm esto disponveis. Os alunos aprendem
como roubar credenciais de cartes de crdito e at a monetizar seu saque.
22 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015
Figura 23: Anncio de treinamento de aprovao de transaes com cartes de crdito fraudulentos
Os alunos aprendem a roubar nmeros de cartes de crdito, aprovar compras fraudulentas (nos sites
Pontofrio, Apple Store, Amazon, eBay, Dell e MercadoLivre), consultar bases de dados, mascarar
seus endereos IP quando usam credenciais roubadas para suas compras online, determinar os extratos
disponveis dos cartes roubados, monetizar dados do carto roubado (comprar passagens de avio
para revender) e gerar dados infocc. Alm disso, descobrem o que so bins e o que InfoBanker, alm
de identificar em quais lojas eles podem comprar produtos com seus cartes roubados.
Dinheiro falso
Notas falsificadas de R$ 10, R$ 20 e R$ 50 so vendidas no submundo brasileiro.
Oferta
Preo
R$ 100
R$ 200
Figura 29: Conversa com um cibercriminoso oferecendo um servio de melhoria da Velox que custa
R$ 150 por um perodo de pelo menos seis meses a mais do que o perodo mximo de um provedor
Crypters
Como quase todos os fornecedores de segurana detectam a maioria dos malware bancrios e outros
arquivos maliciosos, os crypters se tornaram bsicos para o cibercrime. A maior parte dos crypters so
criados por meio da juno de cdigos, modificao de ponto de entrada (entry point ou EP), arquivo
executvel obrigatrio ou modificao de arquivo geral. Como em 2013, os crypters ainda podem ser
comprados no submundo por R$ 70. Alguns vendedores fazem uma promoo de apenas R$ 40 no final
do ano.
SEO 3
Desafios frente
Desafios frente
O cenrio socioeconmico do Brasil tornou o pas um terreno frtil para os cibercriminosos. O lucro rpido
prometido por uma vida de crimes se tornou atraente o bastante para vrios indivduos. As ferramentas
e o treinamento que eles precisam esto todos disposio. S preciso ter coragem e know-how
para qualquer novato se dar bem. E como as atividades cibercriminosas no tm penas pesadas no
Brasil, como em outras regies como a Amrica do Norte, os criminosos promovem publicamente suas
operaes. Isso, por sua vez, atrai mais pessoas querendo seguir seu exemplo.
Apesar do cibercrime brasileiro prosperar na Surface Web novamente, em grande parte, devido ao
desrespeito dos cibercriminosos pela polcia prevemos uma grande mudana para a Deep Web no
futuro. Os desenvolvedores e operadores que usam mulas de dinheiro e contas bancrias para retirar seus
lucros ainda tm uma grande chance de serem pegos. Usar bitcoins e negociar em darknets diminuiriam
esse risco.
As agncias legais brasileiras tm uma tarefa rdua frente se quiserem derrubar o cibercrime local. Em
2015, eles se esforaram mais para combat-lo. Os agentes da lei fizeram parcerias com fornecedores
de segurana, como a Trend Micro, para treinamentos sobre o cibercrime e at colaboraram em algumas
investigaes. Mas esses exerccios no foram suficientes para derrubar o cibercrime no Brasil. rgos
legislativos tero que ser mais rigorosos com sanes para desencorajar os cibercriminosos individuais,
desenvolvedores e operadores. O governo nacional precisa investir mais recursos nas investigaes,
principalmente quando o cibercrime brasileiro migrar para o territrio da Deep Web. Essas tarefas podem
ser difceis agora devido aos desafios de imposio da lei mais urgentes atualmente no pas.
Iremos monitorar continuamente as atividades, tendncias e ofertas do submundo brasileiro.
Acompanharemos a adoo de criptomoedas, especialmente agora que o ransomware regional est
surgindo. Porm, como isso ir mudar a dinmica atual do mercado, ainda teremos que descobrir.
Referncias
1. Fernando Mercs. (2014). Trend Micro Security Intelligence. O Submundo do Crime Digital Brasileiro: Um
Mercado de Aspirantes a Cibercriminosos? ltimo acesso em 14 de dezembro de 2015, http://www.trendmicro.
com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf.
2. Trend Micro. (28 de junho de 2015). Trend Micro Simplesmente Segurana. Hacker brasileiro chama ateno
mundial lucrando com malware bancrio. ltimo acesso em 15 de dezembro de 2015, http://blog.trendmicro.
com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario.
3. Trend Micro. (13 de abril de 2015). Trend Micro Simplesmente Segurana. FighterPOS Combatendo uma Nova
Famlia de Malware PDV. ltimo acesso em 15 de dezembro de 2015, http://blog.trendmicro.com.br/fighterposcombatendo-uma-nova-familia-de-malware-pdv.
4. Vanessa Martins. (27 de agosto de 2015). globo.com. Polcia prende 20 suspeitos de clonar cartes e realizar
fraudes bancrias. ltimo acesso em 15 de dezembro de 2015, http://g1.globo.com/goias/noticia/2015/08/
policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html.
5. allpago. (2015). allpago.com. The Spread of Internet Banking in LATAM. ltimo acesso em 15 de dezembro de
2015, http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/.
6. Trend Micro. (2015). TrendLabs Security Intelligence Blog. Ransomware (Resultados de Busca). ltimo acesso
em 15 de dezembro de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware.
7. Sam S. Adkins. (Maio de 2015). Ambient Insight Research. The 20142019 Brazil Mobile Learning Market. ltimo
acesso em 15 de dezembro de 2015, http://www.ambientinsight.com/Resources/Documents/AmbientInsight2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf.
8. eMarketer Inc. (25 de julho de 2014). eMarketer. Brazils Bankers Get Digital, Both Online and via Mobile.
ltimo acesso em 15 de dezembro de 2015, http://www.emarketer.com/Article/Brazils-Bankers-Digital-BothOnline-via-Mobile/1011051.
9. TrendLabs. (Outubro de 2015). Trend Micro Security Intelligence. Hazards Ahead: Current Vulnerabilities Prelude
Impending Attacks. ltimo acesso em 15 de dezembro de 2015, http://www.trendmicro.com/cloud-content/us/
pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf.
10. Fernando Mercs. (12 de junho de 2015). Trend Micro Simplesmente Segurana. Malware DNS Changer de
olho nos roteadores domsticos. ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/
malware-dns-changer-de-olho-nos-roteadores-domesticos/.
11. Lion Gu. (2015). Trend Micro Security Intelligence. Prototype Nation: The Chinese Cybercriminal Underground
in 2015. ltimo acesso em 18 de dezembro de 2015, https://www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-prototype-nation.pdf.
12. Trend Micro. (21 de maro de 2014). TrendLabs Security Intelligence Blog. Mass-Produced ATM Skimmers,
Rogue PoS Terminals via 3D Printing? ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com/
trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/.
13. Equipe Trend Micro FTR. (Abril de 2015). Trend Micro Security Intelligence. FighterPOS: Anatomia e Operao
de um novo Malware PDV. ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/wpcontent/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf.
14. Globo Comunicao e Participaes SA. (16 de novembro de 2014). globo.com. Quadrilha usa bluetooth para
clonar cartes de chip e movimenta milhes. ltimo acesso em 18 de dezembro de 2015, http://g1.globo.com/
fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html.
15. Brain Krebs. (27 de outubro de 2014). Krebs on Security. Replay Attacks Spoof Chip Card Charges. ltimo
acesso em 16 de dezembro de 2015, http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-cardcharges/.
16. Trading Economics. (2015). Trading Economics. Brazil Inflation Rate. ltimo acesso em 16 de dezembro de
2015, http://www.tradingeconomics.com/brazil/inflation-cpi.
17. Cynthia Fujikawa Nes. (12 de agosto de 2015). The Brazil Business. The Brazilian Educational System. ltimo
acesso em 16 de dezembro de 2015, http://thebrazilbusiness.com/article/the-brazilian-educational-system.
Criado por:
Suporte Tcnico Global e Centro de Pesquisa e Desenvolvimento da TREND MICRO
TREND MICROTM
A Trend Micro Incorporated, lder global de segurana em nuvem, cria um mundo seguro para a troca de informaes digitais com suas solues de
segurana de contedo da Internet e solues de gerenciamento de ameaas para empresas e consumidores. Pioneira em segurana de servidores com
mais de 20 anos de experincia, fornecemos segurana avanada para clientes, servidores e ambientes em nuvem. Nossas solues se adequam s
necessidades de nossos clientes e parceiros; bloqueiam novas ameaas mais rapidamente; e protegem dados em ambientes fsicos, virtualizados e em
nuvem. Com a infraestrutura da Trend Micro Smart Protection Network, nossas tecnologias, servios e produtos lderes em segurana bloqueiam
ameaas onde surgem na Internet e so mantidos por mais de 1.000 especialistas em inteligncia de ameaas em todo o mundo. Para mais
informaes, acesse www.trendmicro.com.br.
2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball so denominaes comerciais ou marcas
registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas so denominaes comerciais ou marcas registradas de seus
respectivos titulares.