The Brazilian Malware Landscape: A Dime a Dozen and Going Strong

O panorama brasileiro do malware: a ameaça que começou tímida cresce e ganha forças a cada dia

O cibercrime no Brasil é um dos maiores desafios do país e, ao contrário de ataques em outras partes do mundo, o Brasil é, em sua maior parte, alvo de criminosos locais. Vamos examinar as maneiras pelas quais os cibercriminosos locais adaptam seus ataques para o panorama em que operam.

O tipo mais prolífico de ataques de cibercrime no Brasil são facilitados por malwares. Nessa frente, os cibercriminosos brasileiros tendem a operar com menores níveis de sofisticação em comparação com os malwares praticados na Europa Oriental - mas eles compensam relativamente essa baixa sofisticação com o volume de ataques. No entanto, essa tendência está começando a mudar, uma vez que os criminosos estão colaborando cada vez mais com cibercriminosos russos para comprar e oferecer malwares no mercado brasileiro ou esquematizar ataques mais sofisticados.

Você pode estar de perguntando, “por que os criminosos brasileiros raramente usam o malware avançado, como Zeus, Neverquest ou Tinba?” A resposta é simples: não há necessidade de matar uma formiga com uma bala de canhão. Se funciona, os criminosos vão continuar usando-o e não precisamos ir muito longe para ver isso.

Aqui está a lista das top ameaças de malware utilizadas no Brasil contra usuários de serviços bancários e de pagamento online:

Tendência # 1: Outro dia, outro Trojan

No panorama brasileiro de cibercrime, um dos traços de malware mais comuns é o uso de código baseado em Delphi. Por que Delphi? Em primeiro lugar, esta linguagem de programação é simplesmente muito popular no Brasil. É possível que a utilidade e simplicidade global de Delphi tornou-se a escolha de muitos pequenos criminosos que fazem ou compram códigos maliciosos baseados em Delphi, principalmente porque eles podem facilmente compreendê-lo e personalizá-lo.

Ao contrário de modernos Trojans bancários, como Dridex ou GozNym, que precisam vir com um “builder” para gerar novos e executáveis ataques, um de cada vez, os autores brasilerios de malware vendem código fonte personalizável. De acordo com a X-Force Research, isso significa que cada vez que alguém compra um malware, eles modificam-o como for necessário, e ... criam novos malwares em essência, sem criar uma nova família de malware.

Isto nos leva a ver muito pouco em termos de famílias de malware distintas no Brasil, o que torna as tendências de segurança e requisitos de proteção brasileros únicos em comparação com àqueles praticados em regiões como a América do Norte ou Europa, por exemplo. O resultado é que não vemos muitas variantes de Dridex, Neverquest, Tinba ou GozNym no Brasil como vemos em outras partes da América do Sul.

Para saber mais sobre o cenário de ameaças no Brasil, leia o relatório completo da IBM X-Force

Tendência # 2: Imagem Baseada em Phishing

Os golpes de Phishing têm sido muito utilizados por cibercriminosos brasileiros para enviar os usuários para páginas bancárias falsas, a fim de roubar seus dados bancários online. Em muitos kits de phishing modernos, o código que gera a página falsa puxa um grande número de conteúdo HTML a partir do site autêntico do banco. Essa ação pode, por si só, ser detectada por soluções de segurança e muitas vezes ajuda os pesquisadores a encontrar e desligar sites de phishing por meio de um novo rastreamento dos recursos web, que copiam o código do site do banco.

Para contrariar essa detecção, os criminosos não precisam fazer muito. Eles criaram um arquivo simples de imagem, com dois campos editáveis, e encontraram uma maneira de o sobrepor na janela do navegador de Internet da vítima. A imagem é uma captura de tela do site do banco - sem código necessário! É tão simples e, mesmo faltando sofisticação, é de baixo custo e difícil de se detectar, ao mesmo tempo em que atinge seu objetivo de “pescar” credenciais.

Tendência # 3: O RAT e a sobreposição remota

Enquanto a simples sobreposição Trojan descrita acima continua a funcionar bem, os pesquisadores da IBM X-Force começaram a ver uma escalada do método de sobreposição Trojan em 2014. No novo método de ataque, o elemento homem no meio (Man in the Middle - MiTM) foi introduzido sob a forma de uma ferramenta de acesso remoto malicioso (remote access tool - RAT). Com o RAT, que dá ao criminoso completo controle ilícito sobre a vítima, fraudadores podem roubar credenciais e acompanhar em tempo real uma tentativa de transação a partir do próprio ponto final da vítima, diminuindo suspeitas relacionadas ao banco.

Esse golpe manual é geralmente conhecido como um "Remoto"; ele aproveita a constância de uma tela de sobreposição que bloqueia o usuário de ver ou acessar seu real navegador de web. Simultaneamente, o criminoso executa uma transação fraudulenta enquanto o usuário está "preso". As vítimas ainda são questionadas sobre um segundo elemento de autenticação em tempo real, uma verdadeira engenharia social que ajuda o criminoso, sem nunca nem saber que houve um terceiro entre eles e a verdadeira sessão bancária.

Tendência # 4: O Navegador Falso

Outra tendência popular no panorama brasileiro de malware é o navegador falso. Esta técnica é conceitualmente simples: a vítima navega pelo site de seu banco online, quando o navegador original de repente cai e reabre automaticamente. Mas, a segunda ocorrência é na verdade falsa. O segundo navegador é um programa malicioso criado pelos criminosos para aparecer exatamente como o original; esses programas são projetados para se adaptarem à escolha específica do navegador que a vítima usa (na maioria dos casos).

Devido à contínua reabertura do navegador, vítimas inocentes continuam de onde pararam, muitas vezes inserindo suas credenciais na janela do navegador falso, inadvertidamente enviando-as para o ponto de partida do criminoso. Uma vez recebido na outra extremidade, o criminoso vai usar as credenciais em uma tentativa de autenticar uma sessão online do banco e realizar uma transferência fraudulenta de uma ponto de acesso que ele controle (assumindo o controle da conta fraudulenta).

Tendência #5: Maliciosas extensões do navegador de boleto

A quinta tendência no cenário brasileiro não tem como alvo o banco online por si só, mas é específica para um método popular de pagamento online utilizado na América do Sul - o pagamento via boleto. Boletos são equivalentes a ordens de pagamento online e são amplamente utilizados no Brasil para qualquer tipo de pagamento, especialmente por pessoas que não possuem um cartão de crédito.

Os criminosos manipulam pagamentos por boleto e alteram sua informação de encaminhamento de uma maneira que o dinheiro é enviado para o intruso ao invés do beneficiário real. Para alterar facilmente as informações de pagamento por boletos, os cibercriminosos usam maliciosas extensões que infectam o navegador de Internet e adulteram detalhes do boleto. Em certo sentido, esta é uma reminiscência de objetos auxiliares de navegadores maliciosos (BHO de malware), alavancadas por Trojans, como ocorre com Zeus há mais de uma década, onde os Trojans bancários alterariam o número da conta do emitente e o valor da transferência on line a ser realizada.

As extensões maliciosas alcançam dois objetivos:

  1. Elas são uma maneira simples de modificar os detalhes de pagamentos online de boletos bancários. Têm como alvo as linhas editáveis do boleto, que incluem o número da conta do beneficiário e o valor do pagamento. Essa mudança ocorre antes que o usuário envie o pagamento ao seu beneficiário desejado, tendo, assim, enviado sem saber o dinheiro para um criminoso.
  2. Como medida adicional, os criminosos muitas vezes sabotam pagamentos por boleto, tornando o seu código de barras original ilegível para scanners eletrônicos. Dessa forma, quando o beneficiário destinado tenta validar o código de barras do boleto no banco, o funcionário é obrigado a digitar as informações manualmente, enviando, inadvertidamente, o dinheiro para a conta do criminoso.

Dois nomes muito populares para essas extensões maliciosas são HyperK e Eupuds.

Tendência #6: O persistente e malicioso Proxy-changer

De acordo com pesquisadores da IBM X-Force, o malware do tipo Proxy-changer tem sido o vetor de ataque mais popular no Brasil, pelo menos nos últimos seis anos. Não espere nada sofisticado aqui - é uma torção em uma ameaça desgastada pelo tempo. Ao invés da forma mais antiga de alterar o arquivo Hosts, o Proxy malware mexe com o arquivo Proxy Auto-Config (PAC) da vítima. Arquivos PAC são recursos do navegador quando ele precisa escolher automaticamente o servidor proxy mais apropriado para buscar uma URL solicitada.

Arquivos PAC maliciosos começaram a ganhar notoriedade no Brasil em 2009, quando váriais famílias do malware proxy-changer foram detectadas por meio da edição de arquivos dentro de registros do PAC nas máquinas infectadas. O malware pode mexer com arquivos PAC de diversas maneiras: editar o PAC, adicionar um PAC totalmente novo para o navegador ou excluir o PAC legítico e substituí-lo com a versão falsa.

Os criminosos cibernéticos no Brasil continuam a explorar a manipulação de proxy para enviar as vítimas para páginas de phishing quando tentam navegar até o site do fornecedor do cartão de crédito ou do banco.

Tendência #7: Abuso de ferramentas legítimas

Cibercriminosos brasileiros utilizam instrumentos legítimos e Windows wares padrões para interromper ou excluir software de segurança de endpoints infectados, de modo que o software de segurança não interfira com o seu malware.

Por exemplo, uma ferramenta gratuita chamada "Process Hacker" é projetada para monitorar recursos do sistema. Esta ferramenta pode ser usada de forma maliciosa por cibercriminosos para permitir que malwares interrompam processos de produtos de segurança que possam estar em execução no endpoint da vítima.

Os criminosos cibernéticos no Brasil também foram vistos utilizando Gmer, um popular detector e removedor de rootkit. O Gmer pode habilitar a exclusão de arquivos protegidos de outra forma, como os de software de segurança, a partir das zonas mais profundas dos sistemas operacionais.

Um meio mais simples para alcançar o mesmo resultado é fazer aparecer pop-ups no navegador do usuário, solicitando o desligamento do seu próprio software de segurança. Isso também funciona em alguns casos e permite que criminosos menos sofisticados escapem, mesmo que suas habilidades técnicas não sejam tão avançadas.

Sucesso contínuo - Mas por quê?

Vamos passar por alguns dos fatores que contribuem para a dinâmica do cibercrime simplista no Brasil:

  • Alto índice populacional, muitos usuários de Internet, mas com consciência de segurança relativamente baixa, juntamente com grandes quantidades de cibercriminosos empreendedores.
  • Como a conectividade e serviços de Internet se tornaram disponíveis em mais partes do país, muitos brasileiros estão acessando serviços online pela primeira vez. Como usuários de fase inicial, a segurança muitas vezes não é prioridade e muitas vezes não há treinamentos disponíveis, aumentando suas chances de se tornarem vítimas do cibercrime. O risco aumenta à medida que usuários no Brasil favorecem o acesso à sua conta bancária online através de seus dispositivos móveis, que muitas vezes podem ser ainda menos seguros.
  • A baixa consciência de segurança pode significar que os consumidores brasileiros podem estar relutantes em pagar por software de segurança, aumentando potencialmente o risco de infecção por malware.
  • O cenário de segurança no Brasil continua a ser menos rigoroso do que em outras partes do mundo, até mesmo no nível de empreendimento.

Então, isso pode ser consertado?

Sim. A Cibersegurança pode definitivamente se tornar melhor através da educação do usuário e da conscientização geral de ameaças online. Implementando ferramentas de segurança apropriadas em endpoints, protegendo contas online com segurança adaptada e protegendo os dispositivos móveis contra as ameaças cada vez maiores, que somam grandes perdas anuais que o Brasil vem sofrendo devido às taxas de ciber-criminalidade no país.

Para saber mais sobre o cenário de ameaças no Brasil, leia o relatório completo da IBM X-Force

Cybercrime is undoubtedly one of Brazil’s greatest challenges. Unlike other parts of the world, Brazil is targeted mostly by local criminals.

Malware facilitates the most prolific type of cybercrime attacks in Brazil. Because Brazilian malware tends to be less sophisticated than malware made in Eastern Europe, cybercriminals in Brazil compensate with attack volume. This trend is beginning to change, however, as criminals are increasingly collaborating with Russian-speaking actors to buy and offer malware in the Brazilian cybercrime market.

Why do Brazilian cybercriminals rarely use advanced malware such as Zeus, Neverquest or Tinba? The answer is simple: No need to shoot a fly with a cannonball. If it works, that’s a good enough reason for cybercriminals to keep using it.

The Top Trends Among Brazilian Malware

Below is a list of the top malware threats employed in Brazil against banking and payment users.

1. Another Day, Another Trojan

One of the most common malware traits in the Brazilian cybercrime landscape is the use of Delphi-based code. It’s possible that its overall utility and simplicity became popular among small-time criminals who make or buy Delphi-based malcode, mostly because they can easily understand and customize it.

Unlike modern day banking Trojans such as Dridex or GozNym, which must come with a builder to generate new executables each time, Brazilian malware authors sell customizable source code. According to IBM X-Force research, this means that every time someone buys the malware, they modify it as they see fit. That essentially creates new malware without creating a new malware family.

For this reason, we see very few distinctive malware families in Brazil. This poses unique security challenges in Brazil compared to those in regions like North America or Europe, for example. It follows that we do not see as many variants of Dridex, Neverquest, Tinba or GozNym in Brazil as we do in other parts of South America.

Read the X-Force special report: 2016 Brazilian Threat Landscape

2. Image-Based Phishing

Brazilian cybercriminals have long used phishing scams, sending users to fake bank pages to rob their online banking details. In many modern phishing kits, the code that generates the fake page pulls a lot of the HTML content from the genuine bank’s website. This action can be detected by security solutions and often helps researchers find phishing sites by tracing back the web resource that copies code from the bank’s website.

Brazilian criminals did not have to do much to counter this detection. They created a simple image file with a couple of editable fields and found a way to overlay it on the victim’s internet browser window. The image is a screen capture of the bank’s website — no code necessary! It is as simple as it is trendy. While it lacks in sophistication, it is both inexpensive and tricky to detect.

3. The RAT and the Remote Overlay

While the very simplistic overlay Trojan described above continues to work well, IBM X-Force researchers began seeing an escalation of the overlay Trojan method in 2014. In the newer attack method, cybercriminals introduced a man-in-the-middle (MitM) element in the form of a malicious remote access tool (RAT). With the RAT, which gives the attacker full control over the victim’s endpoint, fraudsters can steal credentials and follow up with a real-time transaction attempt from the victim’s own endpoint, thus raising less suspicion on the bank’s end.

This manual scam is generally known as a Remoto. It leverages the persistence of an overlay screen that blocks the user from seeing or even accessing their actual web browser. While the user is stuck, the criminal simultaneously performs a fraudulent transaction. Victims are then asked for two-factor authentication elements in real time. In this way, victims are socially engineered into helping the attacker without ever knowing that a third party has come between them and the genuine banking session.

4. The Fake Browser

Another popular trend in the Brazilian malware arena is the fake browser. This technique is conceptually simple: Victims go to their online banking website when their original browser suddenly crashes and automatically re-opens. The second browser is a malicious program created by the criminals to appear exactly like the original. These programs, in most cases, are designed to adapt to the victim’s specific browser.

Due to the seamless relaunch of the browser, unsuspecting victims are likely to continue where they left off, often entering their credentials into the fake browser window, inadvertently sending them to the criminal’s drop zone. Once received on the other end, the criminal will use the credentials in an attempt to authenticate an online banking session and perform a fraudulent transfer from an endpoint he or she controls. This is an example of account takeover fraud.

5. Malicious Boleto Browser Extensions

The fifth trend on the Brazilian roster does not target online banking per se, but it is specific to a popular online payment method used in South America known as Boleto. Boletos are the equivalent of online money orders, which are used extensively in Brazil for any type of payment, especially by individuals who do not own a credit card.

Criminals manipulate Boleto payments and alter their routing information in a way that sends the money to an attacker instead of the intended payee. To seamlessly alter the payment information on Boletos, cybercriminals use malicious extensions that infect the internet browser and tamper with Boleto details on the fly.

In a sense, this is reminiscent of malicious browser helper objects (BHO malware) leveraged by Trojans like Zeus about decade ago. With that, banking Trojans would alter the account number and amount on outgoing online transfers and bill payments from compromised users.

The malicious extensions are a simple way to modify the details of online Boleto Bancario payments. They target the editable lines of the Boleto, which include the payee’s account number and payment amount. This change takes place before the user sends the payment to their intended payee, thus having them unknowingly send money to an attacker.

As an added measure, criminals often sabotage Boleto payments by rendering their original barcode illegible to electronic scanners. That way, when the intended payee attempts to validate the Boleto’s barcode at the bank, the clerk is forced to enter the information manually, at which point he or she inadvertently sends the money off to the criminal’s account. Two very popular names for these malicious extensions are HyperK and Eupuds.

6. The Evergreen Malicious Proxy Changer

According to IBM X-Force researchers, proxy changer malware has been the most popular attack vector in Brazil for at least the past six years.

Don’t expect anything sophisticated here — it’s a twist on a timeworn threat. Instead of the older way of altering the hosts file, proxy malware tampers with the victim’s proxy auto-config (PAC) file. PAC files are the browser’s go-to resource when it needs to automatically choose the correct proxy server that will fetch a requested URL.

Malicious PAC files started gaining notoriety in Brazil in 2009, when several proxy changer malware families were detected editing the URLs inside PAC files on infected machines. Malware can tamper with PAC files in a number of ways: It can edit the PAC, add an entirely new PAC to the browser, or delete the legitimate one and replace it with the bad version.

Cybercriminals in Brazil continue to exploit proxy manipulation to send victims to phishing pages when they attempt to navigate to their bank or credit card provider’s website.

7. Abusing Legitimate Tools

Brazilian cybercriminals use legitimate tools and Windows default wares to stop or delete security software from infected endpoints so that security software does not interfere with their malware.

For example, a free tool called Process Hacker is designed to monitor system resources. This tool can be used maliciously by cybercriminals to end processes of security products that may be running on the victim’s endpoint.

Brazilian cybercriminals also use Gmer, a popular rootkit detector and remover. Gmer can enable the deletion of otherwise protected files, like those of security software, from the deeper zones of the operating systems.

In some cases, cybercriminals can achieve the same result by creating pop-up boxes prompting the user to shut off their own security software. This type of social engineering allows even unsophisticated criminals to get away with fraud.

Read the full report from IBM X-Force: 2016 Brazilian Threat Landscape

Continued Success for Simplistic Cybercrime

Simplistic cybercrime has gained momentum in Brazil due to a variety of factors:

  • Brazil’s large population includes many internet users with relatively low security awareness, along with large amounts of enterprising cybercriminals.
  • As internet connectivity and services become available in more parts of the country, many Brazilians are accessing online services for the first time. Security is often an afterthought to new internet users and training is seldom available, increasing their chances of becoming victims of cybercrime. The risk rises as users in Brazil favor access to their online banking account through their mobile devices, which are often even less secure.
  • Due to their low level of security awareness, many Brazilian consumers may be reluctant to pay for security software, potentially increasing their risk of malware infection.
  • The security landscape in Brazil continues to be less stringent than it is in other parts of the world, even on the enterprise level.

Can Brazilian Malware Be Countered?

Cybersecurity can definitely improve in Brazil through user education and overall awareness to online threats. Brazilians can counter cybercrime by deploying the appropriate security tools on endpoints, guarding online accounts with adapted security and protecting mobile devices against the threats described above.

To learn more about the threat landscape in Brazil, read the full report from IBM X-Force.

Share this Article:
Limor Kessem

Executive Security Advisor, IBM

Limor Kessem is one of the top cyber intelligence experts at IBM Security. She is a seasoned security advocate, public speaker, and a regular blogger on the cutting-edge IBM Security Intelligence blog. Limor comes to IBM from organizations like RSA Security, where she spent 5 years as part of the RSA research labs and drove the FraudAction blog on RSA's Speaking of Security. She also served as the Marketing Director of Big Data analytics startup ThetaRay, where she created the company's cybersecurity thought leadership. Limor is considered an authority on emerging cybercrime threats. She participated as a highly appreciated speaker on live InfraGard New York webcasts (an FBI collaboration), spoke in RSA events worldwide, conducts live webinars on all things fraud and cybercrime, and writes a large variety of threat intelligence  publications. With her unique position at the intersection of multiple research teams at IBM, and her fingers on the pulse of current day threats, Limor covers the full spectrum of trends affecting consumers, corporations, and the industry as a whole. On the social side, Limor tweets security items as @iCyberFighter and is an avid Brazilian Jiu Jitsu fighter.