Este é o primeiro artigo de uma série de duas partes. Para obter a história completa, leia a parte dois também.

O cibercrime financeiro no Brasil é conhecido como um dos cenários mais geoespecíficos, onde os cibercriminosos locais atacam usuários da mesma região pela web. Com cerca de 210 milhões de habitantes no país, os criminosos estão em território com grande potencial. Alguns relatos citam prejuízos de quase R$ 70 bilhões (equivalente a cerca de US$ 18,6 bilhões) a fraudes e fraudes on-line em 2017.

Ao acompanhar a evolução da atividade cibernética no Brasil, a IBM Security vê esse cenário de ameaças de forma única, onde a sofisticação técnica não é nem uma norma, nem um requisito. Neste primeiro artigo de uma série de duas partes, apresentamos algumas de nossas pesquisas recentes sobre os típicos programas de malware e táticas, técnicas e procedimentos (TTPs) usados contra os usuários de internet banking.

Em contraste com a crescente sofisticação de outros países, uma das características mais preocupantes do cibercrime no Brasil é sua simplicidade e o uso de familiaridade com a maneira como os usuários navegam na internet para que os golpes sejam aplicados.

O acesso à Internet cresceu no Brasil, mas a educação dos usuários ainda é precária

A maioria dos usuários da internet está localizada no leste e sul da Ásia, enquanto a China é o maior mercado on-line do mundo. Em quarto lugar no gráfico global, o Brasil é o maior mercado de internet da América Latina, com cerca de 140 milhões de usuários em 2016.

O acesso à Internet cresceu rapidamente no Brasil na última década, e cerca de 77% dos residentes possuem acesso à internet nas regiões mais populosas do país.

 

Figura 1: Estimativa por região do percentual de domicílios com acesso à Internet no Brasil. Fonte: IBGE – Diretoria de Pesquisa do Instituto Brasileiro de Geografia e Estatística

Mas enquanto mais brasileiros têm acesso a serviços online, os usuários ainda não têm conhecimento em como usá-los com segurança. Independentemente do tipo de navegador ou mecanismo de pesquisa usado, não é incomum que os usuários procurem algo que desejem acessar nos sites de pesquisa e cliquem no primeiro resultado sem pensar duas vezes. Quando se trata de serviços bancários on-line, por exemplo, alguns preferem não digitar a URL de seu banco na barra de endereço e optar por pesquisas rápidas que apontem um resultado automático. Os fraudadores aproveitam este comportamento para incluir links maliciosos como os principais resultados que o mecanismo de pesquisa exibirá, e acabam atingindo àqueles que não estão cientes dos riscos.

Quando a situação complica…

Os fraudadores no Brasil surgem algumas vezes, da dificuldade socioeconômica do país. Além disso, as leis não são rigorosas ou até mesmo inexistentes para impedir que as pessoas se tornem criminosos on-line.

Dados de 2017 mostram que “mais de cinquenta milhões de brasileiros, quase 25% da população, vivem abaixo da linha da pobreza e têm renda familiar de R$ 387,07 por mês,” segundo o IBGE.

Como podemos entender, quando se trata de sua situação socioeconômica, muitos brasileiros nunca tiveram uma vida fácil, e como a necessidade é a mãe da invenção, esta realidade é também o que torna os brasileiros bastante criativos na solução de problemas. Em muitos casos, o principal problema do povo é a falta de recursos financeiros para sustentar a si e suas famílias. E é assim que o pensamento criativo entra em cena, em boas maneiras, mas, infelizmente, também na forma de cibercrimes.

Malware é o caminho

Ameaças financeiras direcionadas aos usuários de serviços bancários online no Brasil são bastante parecidas. A maioria dos códigos é baseada em malwares de Overlay, escrito na linguagem de programação Delphi – códigos que não são nem elaborados nem modulares. Isso porque a lógica por trás das ferramentas usadas é bastante simples: “se não está quebrado, não conserte” ou “não se mexe em time que está ganhando”. Por que gastar milhares de reais comprando ou criando um malware de ponta, com uma criptografia de ponta a ponta e permitir que ele ganhe privilégios de rootkit em dispositivos, quando é possível usar malwares muito simples para enganar os usuários que entregam seus dados confidenciais por falta de cuidado?

Com a evolução dos controles que reduzem a capacidade dos invasores de usar credenciais obtidas por phishing, o uso de malware é o método preferido no Brasil. Um melhor retorno do investimento com menor esforço. Mas como os fraudadores do dia a dia operam a cadeia de suprimentos do malware sem muita habilidade técnica? É aí que o pensamento criativo e o valor de entender o público local entra em cena. É também por isso que tantos fraudadores no Brasil usam códigos de malware muito semelhantes que fazem as mesmas coisas, o chamado: remote overlay.

Eu vejo remote overlay. Todo o tempo.

Como o próprio nome sugere, “remote” significa controlar remotamente o dispositivo do usuário e “overlay” é para engessar persistentes imagens falsas/interfaces de aplicativos na tela do usuário, para limitar seu acesso a uma sessão bancária online autenticada e induzi-los a divulgar informações adicionais.

Esse tipo de malware é, de longe, a tática mais usada no Brasil atualmente e os criminosos têm poucos motivos para mudá-la.

Fraudadores brasileiros não complicam o que é simples

Antes de usar malware é necessário atingir usuários desavisados. Sem um profundo conhecimento técnico, a maioria dos criminosos brasileiros não opera exploit kits, que podem ser caros e muitas vezes exigem suporte técnico de fornecedores de cibercrime. Ataques recentes que a equipe IBM analisou mostram que a maioria dos atacantes prefere que as vítimas cheguem até eles usando uma tática de ataque parecida com watering hole.

No Brasil, os residentes podem baixar suas faturas direto do site do fornecedor ou do governo correspondente. É uma prática comum que as pessoas façam login em uma conta de serviço on-line, por exemplo, e façam o download da conta.

Ao configurar uma réplica mal-intencionada de um site desse tipo, os criminosos podem atrair um grande número de usuários para essa página e enganá-los para “fazer o download da fatura”, fazendo com que busquem um arquivo com trojan e infectem seus dispositivos com o malware sem saber.

Mas sem usar um exploit kit ou com acesso em sites de grande tráfego, como essa zona de infecção maliciosa se tornará conhecida de vítimas em potencial? Sabendo que muitas pessoas no Brasil têm o hábito de pesquisar sites em mecanismos de pesquisa em vez de digitar sua URL exata na barra de endereços, a escolha óbvia é pagar por um anúncio patrocinado para que a página mal-intencionada conduza a página de resultados de pesquisa. Para manter suas identidades escondidas, os cibercriminosos pagam por anúncios patrocinados com informações roubadas de cartão de crédito, economizando dinheiro e risco.

Postar anúncios maliciosos em mecanismos de busca populares não é um golpe de gênio, mas uma maneira infalível de obter esses anúncios descobertos por controles de segurança e retirados de forma rápida. Os fraudadores que usam essa tática dependem de ataques curtos e agressivos para atrair as pessoas para suas páginas de phishing. Como eles não pagam pelos anúncios e podem criar uma página maliciosa rapidamente, eles ainda podem obter cliques suficientes que torna cada ataque valioso.

Para proteger ainda mais seu site malicioso por um período suficientemente longo para capturar o maior número possível de usuários, os fraudadores usam cartões de pagamento roubados para pagar por serviços legítimos para otimizar o desempenho do site e reduzir o risco de DDoS.

Figura 2: O site de phishing usa otimização e proteção pagas

Figura 3: informações públicas sobre uma dos URLs de phishing usados em uma campanha recente

A pesquisa do X-Force mostra que as campanhas recentes que espalham malware usando URLs patrocinadas foram cuidadosamente segmentadas, concentrando-se em uma região específica, em dias específicos. Por exemplo, essas campanhas muitas vezes personificam a empresa de energia de um estado, próxima da data de vencimento da fatura do mês, explorando o contexto oportuno para os visitantes que tentam pagar sua fatura para infectá-los com Trojans de remote overlay.

Quando alguém tenta fazer o download da sua fatura, ele estaria, na realidade, acessando um arquivo ZIP contendo um arquivo de atalho (.LNK) usado pelo Sistema operacional para apontar para um arquivo executável. Esse arquivo, por sua vez, baixará outros componentes de malware para infectar o dispositivo do usuário. As vítimas só verão um arquivo que abre para nada e podem tentar baixar o arquivo novamente, que é o que nossos pesquisadores descobriram em muitos casos.

“Coach” criminoso como um negócio

Quando se trata de cibercrime, a sofisticação técnica, embora não seja totalmente ausente, não é muito comum no cenário de ameaças no Brasil. Em muitos casos, os cibercriminosos na região são recém-chegados ao “mercado” e precisam de ajuda para se familiarizarem com os trabalhos de fraude on-line.

Para preencher as lacunas, esses recém-chegados recebem assistência de outros criminosos na forma de tutoriais e lições, ferramentas e produtos pagos para ajudá-los – um mercado comparável a outros fóruns clandestinos e da web em todo o mundo.

Nas imagens abaixo, podemos ver que os criminosos que vendem informações e ferramentas têm um negócio dinâmico no Brasil. Cada uma das três capturas de tela a seguir representa as mercadorias oferecidas aos fraudadores, incluindo dados comprometidos, recursos da Web e plataformas para o lançamento de ataques, ajuda para geração de leads do blackhat e serviços de saque.

Figura 4: Cibercriminosos oferecendo serviços e mercadorias para ajudar outros criminosos

Mercados da dark web espalham conhecimento e treinam mais criminosos em táticas de fraude. Os ecossistemas de cibercrime localizados são mais direcionados, o que aumenta sua eficiência e efeitos adversos.

Lembrete aos usuários

Nossa equipe observou que, embora seja fácil para os usuários brasileiros serem infectados por malware, as infecções não podem ocorrer sem a interação do usuário. Isso está em contraste com outras partes do mundo, onde as pessoas podem se infectar simplesmente visitando uma página comprometida por meio de um download drive-by de um exploit kit, por exemplo.

Aqui estão algumas dicas para os usuários, para uma navegação mais segura, adaptada aos cenários de infecção no Brasil:

  • Não pesquise a página de contas importantes: os resultados de mecanismos de pesquisa infectados podem levar facilmente os usuários a uma página mal-intencionada. Para contas importantes, especialmente aquelas que envolvem pagamentos, digite o URL na barra de endereço ou salve o website original na lista Favoritos do navegador e acesse-o a partir dele.
  • Verifique o site do qual está fazendo o download: antes de clicar para fazer o download de uma fatura, verifique o domínio e suas credenciais. Um site malicioso pode estar escrito com um erro de ortografia ou usar um domínio de nível superior (TLD) diferente.
  • O site é seguro? Desde a atualização do protocolo seguro (HTTPS), todos os sites são criptografados. Procure um ícone de cadeado na barra de endereço e clique para ver se você está no lugar certo. Os navegadores da Web mais populares alertam os usuários para um site que não é seguro ou, pior, perigoso de ser visitado. Se esse for o caso, feche a página e entre em contato com o provedor de serviços diretamente para pagar a conta.
  • Obtenha software de segurança original em seus dispositivos: mesmo com softwares antivírus comuns, pode levar tempo para detectar novos malwares bancários. Use e atualize um programa antivírus em sua casa e em dispositivos móveis.
  • Mantenha o sistema operacional e todos os aplicativos atualizados: os cibercriminosos podem aproveitar os bugs e as falhas em sistemas sem patches para comprometê-los ou infectá-los com malware. Aplique patches e atualizações assim que estiverem disponíveis para limitar a vulnerabilidade.
  • Fique longe de softwares falsos ou “piratas”: os principais fornecedores de software têm uma, se não muitas, equipes de segurança de aplicativos. Qualquer pessoa que ofereça software falsificado fez um grande esforço para ignorar os controles do fornecedor original. Logo, os aplicativos falsificados costumam ser mais fracos e abrem backdoors para os dispositivos. Lembrem-se da máxima “Não existe almoço gratis”. Fique longe de falsificações e prefira programas de código aberto ou freeware se você não puder comprar software original.
  • Por último, mas não menos importante – Educação! Uma das maneiras mais importantes de ajudar a evitar infecções por malware e fraudes bancárias on-line é a educação do usuário. Embora os controles de segurança possam ajudar a reduzir os riscos, muitos não substituem o cuidado humano. Organizações e provedores de serviços também podem oferecer informações que ajudam os usuários a se tornarem mais conscientes das táticas de ataque e do risco que estão expostos.

Os malwares podem ser prolíficos e/ou complexos, mas os riscos podem ser reduzidos com a plataforma de gerenciamento de riscos correta. Saiba mais sobre a prevenção de fraudes e a mitigação de riscos para identidades de usuários com o IBM Trusteer, que estabelece a confiança de identidade digital em toda a jornada on-line de seu cliente.

More from Fraud Protection

Unveiling the latest banking trojan threats in LATAM

9 min read - This post was made possible through the research contributions of Amir Gendler.In our most recent research in the Latin American (LATAM) region, we at IBM Security Lab have observed a surge in campaigns linked with malicious Chrome extensions. These campaigns primarily target Latin America, with a particular emphasis on its financial institutions.In this blog post, we’ll shed light on the group responsible for disseminating this campaign. We’ll delve into the method of web injects and Man in the Browser, and…

PixPirate: The Brazilian financial malware you can’t see

10 min read - Malicious software always aims to stay hidden, making itself invisible so the victims can’t detect it. The constantly mutating PixPirate malware has taken that strategy to a new extreme. PixPirate is a sophisticated financial remote access trojan (RAT) malware that heavily utilizes anti-research techniques. This malware’s infection vector is based on two malicious apps: a downloader and a droppee. Operating together, these two apps communicate with each other to execute the fraud. So far, IBM Trusteer researchers have observed this…

New Fakext malware targets Latin American banks

6 min read - This article was made possible thanks to contributions from Itzhak Chimino, Michael Gal and Liran Tiebloom. Browser extensions have become integral to our online experience. From productivity tools to entertainment add-ons, these small software modules offer customized features to suit individual preferences. Unfortunately, extensions can prove useful to malicious actors as well. Capitalizing on the favorable characteristics of an add-on, an attacker can leverage attributes like persistence, seamless installation, elevated privileges and unencrypted data exposure to distribute and operate banking…

Topic updates

Get email updates and stay ahead of the latest threats to the security landscape, thought leadership and research.
Subscribe today