原文转载于:https://securelist.com/analysis/publications/72782/russian-financial-cybercrime-how-it-works/

0x00 介绍


在巴西的地下犯罪市场中充斥着世界上最活跃,最有创意的一群网络罪犯。与中国和俄罗斯的网络攻击活动类似,巴西的网络攻击活动也有很明显的地域特色。为了全面的了解这些特点,你需要在这个国家待一段时间,并理解其语言和文化。

在巴西地下市场中诞生了大量的网络威胁-主要是银行木马和钓鱼活动。这些攻击活动非常有创意,也颇具地域特色。在2014年,巴西是世界被评为世界上最容易遭遇金融攻击的国家,巴西网银木马- ChePro系列,是世界上传播范围仅次于Zeus的木马。

p1

图-2014年受银行木马严重影响的国家

巴西的钓鱼活动的情况也差不多,同样排名世界第一。不出意外,巴西的一些公司一定会出现在最频繁遭遇攻击的名单上。巴西的网络罪犯也在采用从东欧引进的一些技术,他们把这些技术引用到自己的木马中,在全球范围内发动了一系列的攻击活动。这些活动包括大量针对ISP,调制解调器,网络设备,Boletos等国内支付系统的攻击活动。

p2

图-2014年受钓鱼活动严重影响的国家

为了理解巴西的地下犯罪市场,我们想让你见识一下他们的世界,研究他们的攻击策略和心理状况。我们会观察信用卡、个人信息地下市场,本地木马中使用的新技术,以及他们对抗外国犯罪分子的方法。

对于很多人来说,巴西以他们的文化,沙滩,桑巴和狂欢节闻名。对于安全专家,巴西的网银木马同样闻名。

0x01 像“雌雄大盗”一样:疯狂地生活


对巴西罪犯的第一印象可能是他们很喜欢炫耀自己偷了多少钱,以及由此带来的快感。他们把自己比作了罗宾汉:劫富(他们眼中的银行,金融系统和政府)济贫(他们自己)。大多数犯罪分子都是这么认为的:他们认为自己是在偷银行的钱,而不是个人的钱,因为本地法律规定金融机构有义务赔偿受害者的任何钱财损失。

因为,目前的巴西法律并没有把网络犯罪定义为犯罪活动,所以这些人都不会受到惩罚。卡罗琳娜迪克曼法(以著名演员命名,她的计算机上的裸体照片失窃了)在2013年通过,但是,这项法律并不能有效地惩罚网络罪犯,因为处罚太轻,司法系统太迟缓。很常见的就是,攻击者被捕了3到4次,在不交付罚金的情况下就被释放了。缺少有效的立法手段以及政策腐败就是网络犯罪的温床。

能够证明网络罪犯不惧怕法律诉讼的强有力证明就是你能在网络上很容易地找到他们的照片,在社交网络上看到他们的个人简介。他们总是在炫耀自己偷到了多少钱,自己活得有多么爽,在狂欢节上招妓等等。

p3

令巴西声名狼藉的一点是,在这里有大量像“雌雄大盗”一样的犯罪分子过着体面的生活。他们偷了多少钱?不少。根据巴西联邦银行(FEBRABAN)的说法,在2012年,当地的银行损失了14亿雷亚尔(大约5亿美元),都是通过网银,电话转账或信用卡克隆支付给了诈骗分子。

巴西的网络犯罪有着庞大的目标受众:巴西有超过一亿名网络用户,1亿4千1百万名市民使用电子投票系统,每天有超过5千万民用户使用网银服务。

在线视频中有的是在庆祝犯罪生活,比如这首歌“Hacker’s Rap”。歌词中就是在歌颂一名网络罪犯的生活,利用其知识来窃取银行账户和密码:

p4

视频链接-https://youtu.be/ID2GUCqUhH0

歌词中写道:“我是虚拟世界的一名恐怖分子,犯罪分子;在网络上,我传播恐怖,我神经过敏;我会入侵你的PC,所以举起手来;你再也无法寻欢作乐,你的密码是我的了”。

在Youtube的一个视频中-“Cloned credit card rap”,犯罪分子拿着大把的银行卡在炫耀自己的钱。

p5

歌词中还唱到:“无论你是上班族还是小贼,我们克隆你的银行卡,我身高171,是个职业的骗子,还会克隆你的卡,我们偷富人的钱,就像罗宾汉,我是…”

近期,巴西联邦警察逮捕了一座豪宅的主人,这座豪宅价值300万雷亚尔,是犯罪分子通过Boleto木马窃取的赃款购买的。在巴西,网络罪犯很富有,相当富有。

0x02 C2C: 网络犯罪到网络犯罪


像其他地下团体一样,巴西的网络罪犯也是分为中小型团体,有着各自的专业领域,会彼此出售服务或合作。“独立的”犯罪分子也很常见,但是总的来说,他们还是会合作来完成任务。

巴西地下世界主要是利用互联网中集聊天(IRC)频道来谈判,出售或购买木马和服务。有的还会使用Twitter或Facebook等社交网络,但是大多数内容还是隐藏在IRC频道和封闭论坛中,只有论坛成员邀请你或批准你加入论坛。犯罪分子会通过IRC聊天,交换关于攻击活动的数据,出售服务以及从网站上窃取的个人数据,而开发者可能会销售木马,垃圾邮件发送人,数据库和服务。这些活动完全是C2C(网络罪犯到网络罪犯)的 。对于此类活动,两个最受欢迎的IRC网络是FullNetwork 和 SilverLords。

但是,在犯罪组织中,经常遇到的一个问题是“calote”,也就是老赖-这些人从地下市场上购买了服务或软件,但是不付钱。很快,卖家就会来报复。首先,卖家会公布这些人的真实身份,从而引起执法部门的注意;接着,卖家会把这些人的姓名加入到一个信誉数据库,通过“黑名单”和“白名单”,能帮助“社区”在进行交易前,首先判断客户的信誉。

p6

图-Fullnetwork.org上的 一个地下市场名誉系统:用于预防赊账

在巴西地下市场中,帮派竞争也很常见-有些团体甚至会庆祝其他犯罪分子被捕的消息。Alexandre Pereira Barros就遇到了这样的事情,他负责的是SilverLords网络。在2013年 4月份,Alexandre Pereira Barros和另外3名犯罪分子因为诈骗,攻击金融系统,信用卡克隆,黑客攻击等行为被捕。这个小组在巴西戈亚斯设立了一个彩票销售点,盗窃了250.000美元。为了“庆祝”他们被捕,其他的犯罪分子在Youtube上放出了一段视频,报复他们没还债:

p7

图-在2013年被捕的犯罪组织-但是,他们最终没有入狱

一个典型的巴西犯罪小组会由4到5名成员组成,但是有些小组的规模会更大。每名成员都有各自的角色。其中的主要成员是“开发者”,负责开发木马,购买漏洞,创建木马质量保证系统和统计系统,从而让犯罪小组统计受害者数量;然后把这些东西打包,便于与其他犯罪分子议价和使用。有些开发者会加入多个犯罪小组,而且一般不愿意染指赃款。他们的收入来源是通过向其他的犯罪分子销售自己编写的程序。开发者也可能是一个小组的领导者,但是不常见。他们很少被捕。

每个小组中都会有1到2名垃圾邮件发送人,他们负责购买邮箱名单,VPN,并设计“engenharia”(邮件信息中使用的社会工程)。他们的角色一般是尽可能大范围地实施感染。这类成员一般都有入侵服务器的经验,在入侵了服务器后,他们就会在受感染的网页上注入一个恶意的iframe框架。他们的收入不固定:取决于受感染的受害者数量。这就是为什么开发者需要在木马中编写一个受害者计数器,因为需要根据这些信息来计算给他们多少钱。

小组中还有一名招募人,负责雇佣钱骡子。这是一项非常重要的任务,因为这名成员会直接与用户接触,并负责外部活动,例如协商转账准备,从ATM中取款,付账单(一般是在彩票销售点)和收货(利用窃取到的信用卡从网上买的东西)。这名招募人经常会雇佣自己的家庭成员充当钱骡子的角色,因为他们能赚到总收入的30%。一般情况下,警察最先抓捕的就是钱骡子,紧接着就是招募人。

小组的真正领导负责协调其他的成员和所有的活动,与开发者协商新的“KLS”(键盘记录器),要求垃圾邮件发送人采用新的“社会工程技术”,或让招募人发送“突袭”。招募人还负责招募新的小组成员,与其他的犯罪小组协商产品。他们的角色也不是固定的;有些成员可能会执行多种功能,或者与不止一个小组合作,他们的收入也不一样。有些犯罪分子更喜欢独立的工作,向其他的小组出售服务或产品。

有些犯罪分子还开设了在线商店来销售他们的产品,更人性化地推广他们的服务。在这些商店中,你可以购买加密程序,托管服务,木马编码服务等。“BlackStore”(现在已经下线了)的目的就是这样。 我们看看这些“商品”的价格:

p8

p9

p10

作为一家“专业的”商店,他们还会提供购买收据:

p11

图-诚实的小偷:证明你在地下市场购买了商品

现在,巴西地下犯罪市场也采用了东欧的职业化有组织犯罪模式。 他们在技术和市场上的投入是为了获取更高的利润。在一些封闭论坛上,犯罪分子甚至开始宣传自己的服务,希望能吸引以前没有自己开发过工具的新用户:

p12

上面写着:“购买社会工程工具,赚银行家、信用卡的钱,飞往全世界。Bruno Dias智能解决方案为您提供100万条免费的垃圾邮件。”其他的服务还有还有在线提供的“服务木马”,加密程序,FUD(完全无法检测的木马),以及一个完整的管理系统,可以管理银行账户信息:

p13

图- “FUD服务”,加密已经检测到的木马

通过“管理面板”可以管理完整系统,允许攻击者控制受感染的机器,收集银行数据并绕过任何形式的双重验证(2FA)(短信,令牌,OTP(一次性密码)等)。有些系统还允许控制用于传播木马、发送垃圾邮件、管理邮箱列表的网站和域名,都可以通过一个解决方案完成。

p14

图-在地下市场上销售的远程访问工具,用于绕过巴西银行的2FA认证

其他产品还包括DDoS攻击,SYN攻击,UDP放大攻击等。价格如下:8.3美元300秒,13美元450秒,28美元1000秒,40美元3600秒。

p15

DDoS攻击:用几秒钟的时间干掉你的目标

0x03 你的信用卡花了多少钱?


在犯罪分子之中,信用卡转储是最有价值的数据。克隆信用卡的方式有很多,包括安装在ATM上安装密码窃取工具,POS机,钓鱼页面,在PC上安装的键盘输入窃取工具等。

根据世界银行的统计,巴西ATM终端的密集程度是最高的。犯罪分子有超过160,000个机会能在APT机上安装密码盗取工具(也叫做“Chupa Cabra设备”),而且犯罪分子也经常会这样做。即使是大白天,你也能看到他们穿着邋遢的服饰在人头攒动的银行里安装密码盗取设备:

p16

视频链接-https://www.youtube.com/watch?v=-iCs3dEHCyQ

当谈到信用卡克隆时,巴西的犯罪分子总是最有创意,最活跃的。幸运的是,大多数在用的 信用卡都内置了CHIP和PIN技术。尽管最近有新闻说这些协议中存在漏洞,但是与磁刷卡相比,CHIP和PIN卡仍然更安全,更难克隆。因为,这些EMV芯片在全国都有使用,所以大多数克隆活动都是在线进行的,可能会利用钓鱼攻击,虚假的银行页面,虚假的赠品和电子商务门户网站,以极低售价的昂贵产品来吸引受害者。如果你参与了任何形式的在线商务活动,迟早你的信用卡会受到攻击:通过钓鱼或入侵电子门户网站。

这些受欢迎的数据转储是通过专业网站或IRC渠道销售的。并且,不仅仅网络罪犯会参与地下交易 ,很多“传统的”罪犯也会参与地下业务:

取决于不同国家的银行,克隆信用卡的收费也是不同的。

  • - 无限卡: 带有American Express标志的卡,或国际卡,42美元一张
  • - 白金卡: 跨国银行的卡,40美元一张
  • - 黑卡: 30美元一张
  • - 金卡: 25美元一张
  • - 经典卡: 国家银行发行的卡,22美元一张

p17

图-犯罪分子销售信用卡转储的广告:可以用你的信用卡付款

0x04 数据入侵事件促进了网络攻击活动

巴西地下市场非常渴望个人数据-这些数据能允许网络罪犯从中获利,从而购买产品或雇佣钱骡子,甚至是通过这些数据来偷你账户里的钱,因为一些在线服务需要个人数据来确认客户身份。

不过,巴西并没有实施具体的法律来保护个人数据-此时,政客们还在评估他们的选择。所以,数据入侵在政府组织和私有企业中频发。目前,法律并没有规定受影响企业有义务通知客户已经发生的事件。

近来,我们观察到了一些非常严重的数据入侵事件,影响了一些大型网站、政府部门,IRS和其他机构的数据库。在地下市场上,泄密的数据库到处都有销售,500万份市民数据只需要50美元:

p18

政府网站中存在严重的漏洞。在2011年,劳动部网站上出现了两个非常严重的漏洞,在六个月的时间中,暴露了所有市民的信息数据。网站上的安全漏洞会导致敏感数据外泄,仅仅通过CPF号码(巴西的SSN)就可以查询到某个市民的详细个人信息。

p19

对于每一名居住在巴西的市民来说,CPF是最重要的一份文件。上面的号码是唯一的,也是办理一些业务的前提,比如银行开户,考驾照,购买或出售房产,申请贷款,就业(尤其是政府部门),办理护照,申请信用卡等。网络罪犯可以利用泄密的数据来伪装成受害者或窃取他们的身份,从银行申请贷款。

在这种情况下,数据泄露才能满足钓鱼攻击者。这类信息只能通过数据泄露事件获取。不出意外,巴西媒体会发现犯罪分子在通过CD的方式,销售从巴西IRS系统中窃取的数据,这其中包含有大量的敏感数据,CPF号码。仅仅用100美元,你就能购买到包含完整泄露数据库的CD。由于这类数据入侵事件,巴西的钓鱼攻击者利用这些信息和受害者的CPF号码来发动攻击,尝试让虚假信息更可信。下面的这起事件就是在2011年发生的:

p20

图-在这条钓鱼信息中显示了完整的受害者姓名和CPF号码

由于泄露个人数据的来源众多,巴西的犯罪分子通过在线服务,提供了包含有上百万名市民数据的数据库和搜索功能。虽然,政府正在努力取缔这类网站,每个月还会出现新的服务。

p21

图-通过CPF号码就足以找到所有关于你的个人数据

0x04 数据代理人的问题


与个人数据管理相关的另一个问题就是“数据代理人”,也就是收集个人信息再转卖的公司,购买这些信息的公司会利用这些信息定向地制作广告或营销;或者是验证某个人的身份是不是在进行诈骗;或者把这些信息销售给个人和组织,这样他们就可以进行具体的研究。

本地的一些公司,比如Serasa(现在已经由Experian收购)经常是钓鱼活动和木马攻击的目标。因为这些公司的数据库是巴西规模最大的诈骗防护数据库,并且还包括了所有市民的个人数据。对于诈骗分子来说,入侵这些数据库是很有价值的。

所以,不出所料,有大量的诈骗分子会窃取客户凭据来入侵数据代理人的数据库,然后再转卖,访问15天需要30美元,30天需要50美元:

p22

其他犯罪分子走的更远,并创建了自己的数据代理人服务。这些服务的所有者把这些服务推广给市场中的其他诈骗分子,允许从政府或私有企业泄露的数据库 中搜索信息。这类活动的泛滥给人们造成的感觉是,巴西的网络罪犯总是能通过各种方式找到你。

p23

-在同一个地下市场上,提供了政府和数据代理人的数据库

为了宣传他们的服务,诈骗分子会利用各种渠道,甚至是Facebook这样的社交媒体。在Tecmundo公布的档案中,他们发现有些攻击人员也参与了数据库和凭据的销售。

p24

图-在Facebook上宣传访问窃取到的数据服务

0x05 钓鱼攻击是怎样入侵了亚马逊雨林?


你能相信钓鱼活动入侵了世界上最大的热带雨林吗?这就是IBAMA,巴西环境与可再生自然资源研究所遇到的情况。IBAMA负责限制亚马逊地区的树木开采,确保只有授权企业可以开采。

在一系列针对IBAMA员工的攻击中(可能是利用与下面类似的钓鱼活动),巴西的犯罪分子成功窃取了凭据并入侵了IBAMA的在线系统。然后,他们解锁了23个受到环境犯罪指控的公司,允许他们继续在雨林中伐木。在仅仅10天中,这些公司就通过木材赚了1千1百万美元。非法开采的树木能装满1,400辆客车。

p25

图-发送给IBAMA的钓鱼页面:为了窃取凭证并在雨林中伐木

0x06 地下市场与东欧的合作


我们有充足的证据能证明巴西的犯罪分子在与东欧的团伙合作,包括ZeuS,SpyEye和其他银行木马。这种合作直接影响了巴西木马的质量和威胁级别,因为木马作者引入了新的技术。

巴西犯罪分子并不经常在俄罗斯的地下市场中寻找样本,购买新的犯罪软件和ATM/POS木马,或谈判,提供他们的服务。这种合作的结果可以从新攻击活动的开发中看到,比如,影响了巴西Boletos支付系统的攻击活动。

p26

图-巴西犯罪分子用俄语销售对400台受感染POS机的访问

他们还使用了东欧犯罪分子的基础设施,有时候购买托管服务,或出租这些基础设施。“João de Santo Cristo”(一首巴西歌谣中的虚构人物)就是其中的一员,购买了14个Boleto木马域名,并托管在了俄罗斯:

p27

我们已经开始注意到俄罗斯的网站遭到了入侵,并托管了虚假的Boleto网站:

p28

这些证据表明,由于与东欧的合作,巴西的网络罪犯在采用新的技术。我们认为这只是冰山一角,因为在这几年中,这种交流越来越多,因为巴西犯罪分子在开发和寻找新的方式来攻击企业和个人。

0x07 本地木马的发展


与东欧犯罪分子的接触影响了被巴西木马的质量。例如,我们发现Bolet木马确实使用了与ZeuS Gameover相同的加密方法。

p29

图-Boleto木马的有效载荷加密方法-与ZeuS使用的加密方法相同

我们还发现,巴西木马首次使用了DGA(域名生成算法)。木马-Downloader.Win32.Crishi就是其中之一,通过与下面类似的信息进行传播:

p30

从Boleto攻击活动中不断变化的域名使用就能证明巴西的犯罪分子在与东欧合作。

0x08 结论


巴西市场是世界上最活跃也最具挑战性的地下市场,鉴于其独特的特点以及在拉丁美洲的重要地理位置。IT安全公司通过持续监控巴西的犯罪活动,发现了与金融木马相关的新兴攻击活动。这些攻击活动,由于使用了恶意的PAC文件,都很有特点。

p31

图-犯罪分子在恶意PAC文件中留给你的信息:只有检测到才能应对

为了全面地理解巴西的网络犯罪情况,杀毒厂商需要密切注意这个国家的现实状况,在当地收集文件,在本地创建蜜罐,并派遣当地的分析师监控攻击活动,因为大多数犯罪分子都会严格限制感染范围和木马传播范围,仅限于巴西用户。与俄罗斯和中国的网络罪犯类似,巴西的犯罪分子也会创建自己的工具,这些特点是很难从外部理解的。