Easy Does It! A Timely Look Into Fraud TTPs in the Brazilian Financial Cybercrime Landscape

Quanto mais fácil, melhor! Um olhar detalhado aos TTPs do cibercrime financeiro no Brasil

O cibercrime financeiro no Brasil é conhecido como um dos cenários mais geoespecíficos, onde os cibercriminosos locais atacam usuários da mesma região pela web. Com cerca de 210 milhões de habitantes no país, os criminosos estão em território com grande potencial. Alguns relatos citam prejuízos de quase R$ 70 bilhões (equivalente a cerca de US$ 18,6 bilhões) a fraudes e fraudes on-line em 2017.

Ao acompanhar a evolução da atividade cibernética no Brasil, a IBM Security vê esse cenário de ameaças de forma única, onde a sofisticação técnica não é nem uma norma, nem um requisito. Neste primeiro artigo de uma série de duas partes, apresentamos algumas de nossas pesquisas recentes sobre os típicos programas de malware e táticas, técnicas e procedimentos (TTPs) usados contra os usuários de internet banking.

Em contraste com a crescente sofisticação de outros países, uma das características mais preocupantes do cibercrime no Brasil é sua simplicidade e o uso de familiaridade com a maneira como os usuários navegam na internet para que os golpes sejam aplicados.

O acesso à Internet cresceu no Brasil, mas a educação dos usuários ainda é precária

A maioria dos usuários da internet está localizada no leste e sul da Ásia, enquanto a China é o maior mercado on-line do mundo. Em quarto lugar no gráfico global, o Brasil é o maior mercado de internet da América Latina, com cerca de 140 milhões de usuários em 2016.

O acesso à Internet cresceu rapidamente no Brasil na última década, e cerca de 77% dos residentes possuem acesso à internet nas regiões mais populosas do país.

Figura 1: Estimativa por região do percentual de domicílios com acesso à Internet no Brasil. Fonte: IBGE - Diretoria de Pesquisa do Instituto Brasileiro de Geografia e Estatística

Mas enquanto mais brasileiros têm acesso a serviços online, os usuários ainda não têm conhecimento em como usá-los com segurança. Independentemente do tipo de navegador ou mecanismo de pesquisa usado, não é incomum que os usuários procurem algo que desejem acessar nos sites de pesquisa e cliquem no primeiro resultado sem pensar duas vezes. Quando se trata de serviços bancários on-line, por exemplo, alguns preferem não digitar a URL de seu banco na barra de endereço e optar por pesquisas rápidas que apontem um resultado automático. Os fraudadores aproveitam este comportamento para incluir links maliciosos como os principais resultados que o mecanismo de pesquisa exibirá, e acabam atingindo àqueles que não estão cientes dos riscos.

Quando a situação complica…

Os fraudadores no Brasil surgem algumas vezes, da dificuldade socioeconômica do país. Além disso, as leis não são rigorosas ou até mesmo inexistentes para impedir que as pessoas se tornem criminosos on-line.

Dados de 2017 mostram que “mais de cinquenta milhões de brasileiros, quase 25% da população, vivem abaixo da linha da pobreza e têm renda familiar de R$ 387,07 por mês,” segundo o IBGE.

Como podemos entender, quando se trata de sua situação socioeconômica, muitos brasileiros nunca tiveram uma vida fácil, e como a necessidade é a mãe da invenção, esta realidade é também o que torna os brasileiros bastante criativos na solução de problemas. Em muitos casos, o principal problema do povo é a falta de recursos financeiros para sustentar a si e suas famílias. E é assim que o pensamento criativo entra em cena, em boas maneiras, mas, infelizmente, também na forma de cibercrimes.

Malware é o caminho

Ameaças financeiras direcionadas aos usuários de serviços bancários online no Brasil são bastante parecidas. A maioria dos códigos é baseada em malwares de Overlay, escrito na linguagem de programação Delphi - códigos que não são nem elaborados nem modulares. Isso porque a lógica por trás das ferramentas usadas é bastante simples: "se não está quebrado, não conserte" ou “não se mexe em time que está ganhando”. Por que gastar milhares de reais comprando ou criando um malware de ponta, com uma criptografia de ponta a ponta e permitir que ele ganhe privilégios de rootkit em dispositivos, quando é possível usar malwares muito simples para enganar os usuários que entregam seus dados confidenciais por falta de cuidado?

Com a evolução dos controles que reduzem a capacidade dos invasores de usar credenciais obtidas por phishing, o uso de malware é o método preferido no Brasil. Um melhor retorno do investimento com menor esforço. Mas como os fraudadores do dia a dia operam a cadeia de suprimentos do malware sem muita habilidade técnica? É aí que o pensamento criativo e o valor de entender o público local entra em cena. É também por isso que tantos fraudadores no Brasil usam códigos de malware muito semelhantes que fazem as mesmas coisas, o chamado: remote overlay.

Eu vejo remote overlay. Todo o tempo.

Como o próprio nome sugere, "remote" significa controlar remotamente o dispositivo do usuário e "overlay" é para engessar persistentes imagens falsas/interfaces de aplicativos na tela do usuário, para limitar seu acesso a uma sessão bancária online autenticada e induzi-los a divulgar informações adicionais.

Esse tipo de malware é, de longe, a tática mais usada no Brasil atualmente e os criminosos têm poucos motivos para mudá-la.

Fraudadores brasileiros não complicam o que é simples

Antes de usar malware é necessário atingir usuários desavisados. Sem um profundo conhecimento técnico, a maioria dos criminosos brasileiros não opera exploit kits, que podem ser caros e muitas vezes exigem suporte técnico de fornecedores de cibercrime. Ataques recentes que a equipe IBM analisou mostram que a maioria dos atacantes prefere que as vítimas cheguem até eles usando uma tática de ataque parecida com watering hole.

No Brasil, os residentes podem baixar suas faturas direto do site do fornecedor ou do governo correspondente. É uma prática comum que as pessoas façam login em uma conta de serviço on-line, por exemplo, e façam o download da conta.

Ao configurar uma réplica mal-intencionada de um site desse tipo, os criminosos podem atrair um grande número de usuários para essa página e enganá-los para "fazer o download da fatura", fazendo com que busquem um arquivo com trojan e infectem seus dispositivos com o malware sem saber.

Mas sem usar um exploit kit ou com acesso em sites de grande tráfego, como essa zona de infecção maliciosa se tornará conhecida de vítimas em potencial? Sabendo que muitas pessoas no Brasil têm o hábito de pesquisar sites em mecanismos de pesquisa em vez de digitar sua URL exata na barra de endereços, a escolha óbvia é pagar por um anúncio patrocinado para que a página mal-intencionada conduza a página de resultados de pesquisa. Para manter suas identidades escondidas, os cibercriminosos pagam por anúncios patrocinados com informações roubadas de cartão de crédito, economizando dinheiro e risco.

Postar anúncios maliciosos em mecanismos de busca populares não é um golpe de gênio, mas uma maneira infalível de obter esses anúncios descobertos por controles de segurança e retirados de forma rápida. Os fraudadores que usam essa tática dependem de ataques curtos e agressivos para atrair as pessoas para suas páginas de phishing. Como eles não pagam pelos anúncios e podem criar uma página maliciosa rapidamente, eles ainda podem obter cliques suficientes que torna cada ataque valioso.

Para proteger ainda mais seu site malicioso por um período suficientemente longo para capturar o maior número possível de usuários, os fraudadores usam cartões de pagamento roubados para pagar por serviços legítimos para otimizar o desempenho do site e reduzir o risco de DDoS.

Figura 2: O site de phishing usa otimização e proteção pagas

Figura 3: informações públicas sobre uma dos URLs de phishing usados em uma campanha recente

A pesquisa do X-Force mostra que as campanhas recentes que espalham malware usando URLs patrocinadas foram cuidadosamente segmentadas, concentrando-se em uma região específica, em dias específicos. Por exemplo, essas campanhas muitas vezes personificam a empresa de energia de um estado, próxima da data de vencimento da fatura do mês, explorando o contexto oportuno para os visitantes que tentam pagar sua fatura para infectá-los com Trojans de remote overlay.

Quando alguém tenta fazer o download da sua fatura, ele estaria, na realidade, acessando um arquivo ZIP contendo um arquivo de atalho (.LNK) usado pelo Sistema operacional para apontar para um arquivo executável. Esse arquivo, por sua vez, baixará outros componentes de malware para infectar o dispositivo do usuário. As vítimas só verão um arquivo que abre para nada e podem tentar baixar o arquivo novamente, que é o que nossos pesquisadores descobriram em muitos casos.

“Coach” criminoso como um negócio

Quando se trata de cibercrime, a sofisticação técnica, embora não seja totalmente ausente, não é muito comum no cenário de ameaças no Brasil. Em muitos casos, os cibercriminosos na região são recém-chegados ao "mercado" e precisam de ajuda para se familiarizarem com os trabalhos de fraude on-line.

Para preencher as lacunas, esses recém-chegados recebem assistência de outros criminosos na forma de tutoriais e lições, ferramentas e produtos pagos para ajudá-los - um mercado comparável a outros fóruns clandestinos e da web em todo o mundo.

Nas imagens abaixo, podemos ver que os criminosos que vendem informações e ferramentas têm um negócio dinâmico no Brasil. Cada uma das três capturas de tela a seguir representa as mercadorias oferecidas aos fraudadores, incluindo dados comprometidos, recursos da Web e plataformas para o lançamento de ataques, ajuda para geração de leads do blackhat e serviços de saque.

Figura 4: Cibercriminosos oferecendo serviços e mercadorias para ajudar outros criminosos

Mercados da dark web espalham conhecimento e treinam mais criminosos em táticas de fraude. Os ecossistemas de cibercrime localizados são mais direcionados, o que aumenta sua eficiência e efeitos adversos.

Lembrete aos usuários

Nossa equipe observou que, embora seja fácil para os usuários brasileiros serem infectados por malware, as infecções não podem ocorrer sem a interação do usuário. Isso está em contraste com outras partes do mundo, onde as pessoas podem se infectar simplesmente visitando uma página comprometida por meio de um download drive-by de um exploit kit, por exemplo.

Aqui estão algumas dicas para os usuários, para uma navegação mais segura, adaptada aos cenários de infecção no Brasil:

  • Não pesquise a página de contas importantes: os resultados de mecanismos de pesquisa infectados podem levar facilmente os usuários a uma página mal-intencionada. Para contas importantes, especialmente aquelas que envolvem pagamentos, digite o URL na barra de endereço ou salve o website original na lista Favoritos do navegador e acesse-o a partir dele.
  • Verifique o site do qual está fazendo o download: antes de clicar para fazer o download de uma fatura, verifique o domínio e suas credenciais. Um site malicioso pode estar escrito com um erro de ortografia ou usar um domínio de nível superior (TLD) diferente.
  • O site é seguro? Desde a atualização do protocolo seguro (HTTPS), todos os sites são criptografados. Procure um ícone de cadeado na barra de endereço e clique para ver se você está no lugar certo. Os navegadores da Web mais populares alertam os usuários para um site que não é seguro ou, pior, perigoso de ser visitado. Se esse for o caso, feche a página e entre em contato com o provedor de serviços diretamente para pagar a conta.
  • Obtenha software de segurança original em seus dispositivos: mesmo com softwares antivírus comuns, pode levar tempo para detectar novos malwares bancários. Use e atualize um programa antivírus em sua casa e em dispositivos móveis.
  • Mantenha o sistema operacional e todos os aplicativos atualizados: os cibercriminosos podem aproveitar os bugs e as falhas em sistemas sem patches para comprometê-los ou infectá-los com malware. Aplique patches e atualizações assim que estiverem disponíveis para limitar a vulnerabilidade.
  • Fique longe de softwares falsos ou “piratas”: os principais fornecedores de software têm uma, se não muitas, equipes de segurança de aplicativos. Qualquer pessoa que ofereça software falsificado fez um grande esforço para ignorar os controles do fornecedor original. Logo, os aplicativos falsificados costumam ser mais fracos e abrem backdoors para os dispositivos. Lembrem-se da máxima “Não existe almoço gratis”. Fique longe de falsificações e prefira programas de código aberto ou freeware se você não puder comprar software original.
  • Por último, mas não menos importante - Educação! Uma das maneiras mais importantes de ajudar a evitar infecções por malware e fraudes bancárias on-line é a educação do usuário. Embora os controles de segurança possam ajudar a reduzir os riscos, muitos não substituem o cuidado humano. Organizações e provedores de serviços também podem oferecer informações que ajudam os usuários a se tornarem mais conscientes das táticas de ataque e do risco que estão expostos.

Os malwares podem ser prolíficos e/ou complexos, mas os riscos podem ser reduzidos com a plataforma de gerenciamento de riscos correta. Saiba mais sobre a prevenção de fraudes e a mitigação de riscos para identidades de usuários com o IBM Trusteer, que estabelece a confiança de identidade digital em toda a jornada on-line de seu cliente.

Financial cybercrime in Brazil is known as one of the most geospecific panoramas, where local cybercriminals attack local internet users. With close to 210 million residents in the country, criminals are in lavish turf. Some reports cite losses of nearly 70 billion Brazilian reals — which equates to about $18.6 billion — to fraud and online scams in 2017.

In following the evolution of cyber activity in Brazil, IBM Security sees this threat landscape as unique, where technical sophistication is neither the norm nor a requirement. In this first article of a two-part series, we expose some of our recent research on the typical malware and tactics, techniques and procedures (TTPs) used against Brazilian online banking users.

In contrast to rising sophistication in other parts of the globe, one of the most poignant characteristics of cybercrime in Brazil is its simplicity. Attackers will often use their familiarity with how local users browse the internet to take advantage of them and steal their money.

Read the white paper: Preserving trust in digital financial services

Internet Access Spreads Far and Wide in Brazil, But User Education Is Still Scarce

The majority of global internet users are located in East and South Asia, and China is the largest online market in the world. Fourth on the global chart, Brazil is the largest internet market in Latin America, with nearly 140 million internet users as of 2016, according to Statista.

Internet access has grown rapidly in Brazil in the past decade, with nearly 77 percent of residents accessing the internet from home in some of the more populated regions of the country.

Brazil malware landscape

Figure 1: A regional estimate of the percentage of homes with internet access in Brazil (Source: The Brazilian Institute of Geography and Statistics)

However, while more Brazilians than ever before have access to internet-enabled services, many users are still not well-versed in using them safely. Regardless of the browser or search engine, it’s not unusual for internet users to look up something they want to access and click the first result without thinking twice about it. When it comes to online banking, for example, some may not take the time to type their bank’s URL into the address bar and favor searching for it, then browsing to the top result they get back. Fraudsters rely on this behavior and serve up poisoned links as the top results on a search engine to trap those who are unaware of the risks.

When the Going Gets Tough… Become a Cybercriminal?

The drivers of crime in Brazil stem from socio-economic difficulty. In addition, laws are either nonexistent or not strict enough to deter people from becoming online thieves.

The minimum wage in Brazil stands at 969 reals (around $258) per month, as reported by The Rio Times. Brazilian Institute of Geography and Statistics (IBGE) data from 2017 shows that “more than 50 million Brazilians, nearly 25 percent of the population, live below the poverty line, and have family incomes of R$387.07 per month.”

Many Brazilians have never had it easy when it comes to their socio-economic situations. Since necessity is the mother of invention, that reality is also what makes Brazilians quite creative in problem solving. In many cases, the main problem for everyday people in Brazil is the lack of financial resources to sustain themselves and their families. That’s where creative thinking comes into play — sometimes in good ways and, unfortunately, sometimes in the shape of financial cybercrime.

Remote Overlay Malware Is the Way to Go

Financial threats targeting online banking users in Brazil are a rather monotonous bunch. Most code is based on overlay malware and written in the Delphi programming language — code that is neither elaborate nor modular. Why spend a chunk of money buying or building state-of-the-art malware, wrapping it up in end-to-end encryption and enabling it to gain rootkit privileges on devices, when you only need simple malware to trick users into unwittingly giving up their credentials?

With evolving controls that curb attackers’ ability to use phished credentials, using malware is the preferred method in Brazil, offering a better return on investment for less effort. But how are everyday fraudsters operating the malware supply chain without much technical savvy? That’s where creative thinking and being local come into play. It is also why so many fraudsters in Brazil use very similar malware codes that do mostly the same things — namely, remote overlay.

As its name suggests, remote overlay involves remotely plastering fake images and application interfaces on users’ screens to limit their access to an authenticated online banking session and trick them into divulging additional information. This type of malware is by far the most common used in Brazil nowadays, and threat actors have little reason to change it.

Brazilian Fraudsters Don’t Complicate Things When Easy Does It

Using malware is one thing, but first, it has to reach unsuspecting users. Without technical know-how, most Brazilian fraudsters do not operate exploit kits, which can be costly and often require technical support from cybercrime vendors. Recent attacks that our team analyzed show that most attackers prefer victims to come to them by putting a consumer spin on the watering hole attack tactic.

In Brazil, residents can download their monthly invoices and tax bills from the corresponding vendor’s website or government site. It is common practice for people to log in to an online utility account, for example, and download their bill. By setting up a malicious replica of such a site, criminals can attract a large number of users to that page and trick them into downloading a fake bill, thereby having them willingly fetch a Trojanized file and unknowingly launch the malware infection on their devices.

But without using an exploit kit or relying on high-traffic sites, how will that malicious infection zone become known to potential victims? Knowing that many people in Brazil are in the habit of searching for websites via search engines rather than typing their exact URL into the address bar, the obvious choice is to pay for a sponsored advertisement to have the malicious page top the search results. To keep their own identities out of sight, cybercriminals pay for sponsored ads with stolen credit card information, saving themselves both money and risk.

Posting malicious ads on popular search engines is no stroke of genius, but a surefire way to get those ads discovered by security controls and promptly taken down. Fraudsters using this tactic therefore rely on short, aggressive bouts of luring people to their phishing pages. Since they do not pay for the ads and can spin up a malicious page very quickly, they can still get enough clicks to make each attack worthwhile.

To further protect their malicious site for a long enough period to trap as many users as possible, fraudsters often use stolen payment cards to pay for legitimate services that optimize their site’s performance and mitigate the risk of a distributed denial-of-service (DDoS) attack.

Phising site in Brazil uses DDoS protection

Figure 2: Phishing site data on Virus Total

Malicious website public data

Figure 3: Phishing site uses DDoS protection

IBM X-Force noted that recent campaigns that spread malware using sponsored URLs were carefully targeted by focusing on a specific region on specific days. For example, these campaigns often impersonate a state’s power company around the due date of that month’s bill, exploiting the timely context for visitors trying to pay their invoice to infect victims with remote overlay Trojans.

As users attempt to download their invoices, they are actually accessing a ZIP file containing a shortcut file (.LNK) used by Microsoft Windows to point to an executable file. That file will then download additional malware components to infect the user’s device. Victims would only see a file that opens to nothing and may attempt to download the file again, which our researchers witnessed in many cases.

Need Help With Your Attack Campaign?

When it comes to financial cybercrime, technical sophistication, while not entirely absent, is not very common in the Brazilian threat landscape. In many cases, cybercriminals in the region are newcomers to the trade and need help to become familiar with the works of online fraud.

To fill in the gaps, these newcomers receive assistance from other criminals in the shape of tutorials, lessons, tools and wares to help them along — a marketplace that’s comparable to other dark web and underground forums across the globe.

In the images below, we can see that selling information and tools is a dynamic business in Brazil. Each of the following screen captures shows commodities offered to fraudsters, including compromised data, web resources and platforms to launch attacks, blackhat lead generation help, and cash-out services. The same types of vendors also offer malware for sale.

Brazil fraudster underground Brazilian fraudster service Brazilian fraud services Brazil fraud services

Figure 4: Cybercriminals often offer services and commodities to help other criminals along.

Dark web marketplaces spread knowledge and train more criminals on fraud tactics. Localized cybercrime ecosystems are more targeted, which boosts their efficiency and adverse effects.

A Word to the Wise: Top Tips for Safer Web Browsing

While it is easy for Brazilian users to get infected with malware, infections cannot occur without user interaction. This is in contrast to other parts of the world, where people can often get infected simply by visiting a compromised page through a drive-by download from an exploit kit, for example.

Below are some consumer tips for safer browsing, adapted to the popular infection scenarios in Brazil:

  • Don’t search for the homepage of important accounts. Poisoned search engine results can easily lead users to a malicious page. For important accounts, especially those involving payments, type the URL into the address bar or save the genuine website in the browser’s favorites list and access it from there.
  • Double-check the site before downloading files. Before clicking to download an invoice, double-check the domain and its credentials — a malicious site might be written with a spelling mistake or use a different top-level domain (TLD).
  • Make sure the site is secure. Since the update to Hypertext Transfer Protocol Secure (HTTPS), all websites feature encryption. Look for a lock icon in the address bar and click it to see that you are in the right place. Most popular web browsers will alert users to a site that is not secured, or worse, dangerous to visit. If that’s the case, close the page and contact the service provider directly to pay a bill.
  • Get genuine security software for your devices. Even though regular antivirus software can take longer to detect new banking malware, it can offer some protection against known threats, which are what hits users most often. Use and update an antivirus program on your home and mobile devices.
  • Keep your operating system (OS) and all applications up to date. Cybercriminals can take advantage of bugs and flaws in unpatched systems to compromise or infect them with malware. Apply patches and updates as soon as they become available to limit vulnerability.
  • Stay away from counterfeit software. All major software vendors have one, if not many, application security teams. Anyone offering up counterfeit software goes to great lengths to bypass the original vendor’s controls and, as a result, counterfeit applications are often weaker and open up backdoors to devices. Stay away from counterfeit applications and favor open source or freeware programs if you cannot afford to buy original software.
  • Last, but not least: education. One of the most important ways to help prevent malware infections and online banking fraud is user education. While security controls can help mitigate risks, they can’t replace user vigilance. Organizations and service providers alike should offer information that can help users become more aware of attack tactics and the risks associated with them.

Malware is prolific, but with the right risk management solution, you can prevent fraud while establishing digital identity trust throughout your customer’s online journey.

Read the white paper: Preserving trust in digital financial services

André Piva

Threat Intelligence Expert, IBM

André is a Threat Intelligence Expert in IBM Security's Trusteer. More than 10 years in the IT business, 8 of those...