Publicaciones

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Introducción

El inframundo criminal brasileño alberga a algunos de los delincuentes virtuales más activos y creativos del mundo. Como sucede con sus contrapartes de China y Rusia, sus ciberataques tienen un fuerte sabor local. Para comprenderlos en su totalidad hace falta pasar un tiempo en su país y aprender sobre su idioma y cultura.

El underground produce un sinfín de amenazas, en especial troyanos bancarios y campañas de phishing. Estos ataques pueden ser muy creativos y están diseñados para reflejar la escena local. En 2014, Brasil fue declarado el país más peligroso para ataques financieros y la familia de troyanos bancarios brasileños ChePro se ubicó en el segundo lugar de los troyanos más expandidos, después de ZeuS.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Los países más afectados por troyanos bancarios en 2014

La situación con los ataques phishing es similar: Brasil también ocupa el primer lugar en todo el mundo en estas amenazas. No por nada muchas de las marcas y compañías que aparecen en la lista de entidades más atacadas son brasileñas.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Países más afectados por ataques phishing en 2014

Los cibercriminales brasileños están adoptando técnicas importadas de Europa Oriental e insertándolas en los programas maliciosos locales para lanzar una serie de ataques distribuidos en su territorio. Esto incluye ataques masivos contra servidores, módems y dispositivos de redes o embestidas contra sistemas de pago nacionales como Boletos.

Para que puedas comprender el funcionamiento del underground brasileño, nos gustaría guiarte en un viaje por su mundo en el que exploraremos las estrategias de ataque y estilo de vida de los cibercriminales. Nos sumergiremos en el mercado negro cibercriminal en busca de tarjetas de crédito y datos personales robados, nuevas técnicas de distribución de malware local y métodos de cooperación con los cibercriminales de otros países.

Muchos identifican a Brasil por su cultura, playas, samba y carnaval. Pero para los profesionales en seguridad, este país también tiene renombre como una de las principales fuentes de troyanos bancarios.

El orgullo de ser criminal: una vida sin preocupaciones

La primera impresión que dan los criminales brasileños es que les gusta alardear sobre el dinero que roban y la buena vida que su vida criminal les da. Se comparan a sí mismos con Robin Hood: roban a los “ricos” (para ellos, los bancos, los sistemas financieros y el gobierno son ricos) para beneficiar a los “pobres” (ellos mismos). Esta es una creencia muy común: no sienten que roban a los ciudadanos que tienen sus cuentas bancarias en Internet, sino a los bancos, porque las leyes locales obligan a las instituciones financieras a reembolsar el dinero robado.

Existe una sensación de impunidad muy difundida, en especial porque las leyes brasileñas no definían al cibercrimen como una actividad criminal hasta hace muy poco. La ley Carolina Dieckman (que adopta el nombre de una actriz famosa que a quien le robaron fotos íntimas de su ordenador) se aprobó en 2013, pero no es muy eficaz a la hora de castigar a los cibercriminales por su poca severidad y por la lentitud del sistema judicial. Es muy común que se arreste a los criminales tres o cuatro veces y se los deje en libertad sin cargo alguno. Por si esto fuera poco, la falta de leyes eficaces para combatir el cibercrimen y la intensa corrupción policial son la guinda del pastel.

La inmunidad de los cibercriminales se refleja en la facilidad que cualquiera tiene de acceder a sus perfiles de redes sociales y a las fotos y videos que publican en Internet. Allí, hacen alarde de su dinero robado, de su vida lujosa y de que contratan prostitutas en Río durante el carnaval, entre otras cosas.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Brasil ha ganado una reputación mundial como el lugar en el que muchos criminales se han establecido para disfrutar la vida. Pero, ¿cuánto roban? Mucho. La Federación Brasileña de Bancos (FEBRABAN) indicó que en 2012 los bancos locales perdieron 1,4 mil millones de reales (alrededor de 500 millones de dólares) en reponer los fraudes de Internet, telefónicos o de tarjetas de crédito clonadas.

Los cibercriminales tienen a su disposición una amplia gama de víctimas potenciales en Brasil: el país tiene más de 100 millones de usuarios de Internet, 141 millones de ciudadanos pueden usar el sistema de votos electrónicos de Brasil y más de 50 millones de personas usan los servicios de bancos por Internet a diario.

Existen videos en Internet que celebran la vida cibercriminal, como la canción “El rap de los hackers”. La letra homenajea la vida de los criminales que utilizan sus conocimientos para robar cuentas y contraseñas bancarias:

[youtube https://www.youtube.com/watch?v=ID2GUCqUhH0&w=560&h=315]

La letra dice: “Soy un terrorista virtual, un criminal; en Internet soy el terror, soy peligroso; invado tu PC y se te complica, playboy perdiste, tu contraseña es toda mía”.

Los clonadores de tarjetas de crédito también presumen de sus ganancias en el “El rap de las tarjetas de crédito clonadas”, también disponible en Youtube:

[youtube https://www.youtube.com/watch?v=Em8WXhVgi0U&w=560&h=315]

La letra dice: “La idea es trabajar o robar, nosotros clonamos tarjetas, soy un 171, estafador y clonador, robamos a los ricos, como Robin Hood, yo soy Raúl…”.

Hace poco, la policía federal de Brasil arrestó al dueño de una mansión de 3 millones de dólares, comprada con dinero robado usando el programa malicioso Boleto. En Brasil, el cibercrimen es lucrativo, ¡y mucho!

C2C: de Cibercriminal a Cibercriminal

Como pasa con otras comunidades underground, los cibercriminales brasileños se organizan en grupos pequeños o medianos con los de su misma especialidad, para vender sus servicios o aliarse entre sí. Los criminales “independientes” también son comunes, pero en general se necesitan los unos a los otros para hacer negocios.

Las vías de negocios más comunes para los cibercriminales brasileños, que les permiten comprar y vender servicios y programas maliciosos, son los canales de Internet Relay Chat (IRC). Algunos también usan redes sociales como Twitter y Facebook, pero la mayor parte del contenido importante se esconde en canales IRC y foros cerrados a los que sólo puedes unirte con una invitación o con el respaldo de uno de los miembros. En estos canales de chat IRC, los criminales intercambian información sobre ataques, contratan los servicios de otros delincuentes y venden los datos personales robados de sitios web comprometidos; los programadores también venden sus programas maliciosos y los spammers ofrecen sus bases de datos y servicios. Son verdaderas operaciones C2C – de cibercriminal a cibercriminal. Las redes IRC más populares que se usan con esta función son FullNetwork y SilverLords.

Un problema muy común en la comunidad criminal son los deudores morosos o “calotes”: son los ladrones que roban a ladrones, que compran servicios criminales o programas maliciosos y no los pagan. La venganza de la comunidad es rápida y puede tomar dos formas. En primer lugar, el cibercriminal puede ser blanco de “doxing”: se publica su verdadera identidad para exponerlo ante las autoridades. En segundo lugar, se puede agregar su nombre a una base de datos que califica la reputación de los buenos y malos deudores. Estas listas de “rechazados” y “admitidos” protegen a la “comunidad”, que gracias a ellas puede verificar la reputación de un cliente antes de hacer negocios con él.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Un sistema que califica la reputación de los cibercriminales en Fullnetwork.org: protección contra los deudores morosos

Los ataques de “doxing” a bandas adversarias son muy comunes en el mundo cibercriminal brasileño; algunos grupos hasta celebran el arresto de delincuentes rivales. Esto sucedió con Alexandre Pereira Barros, líder de la red SilverLords. La Policía Federal de Brasil arrestó a Pereira y tres de sus cómplices en abril de 2013 por su participación en una serie de defraudaciones a sistemas financieros, clonaciones de tarjetas de crédito, ataques de activismo cibernético y más. El grupo administraba una tienda de loterías en el Estado de Goias, desde donde se realizaron robos que alcanzaron los 250.000 dólares. Para “celebrar” su arresto y en venganza por sus deudas impagas, otros criminales subieron este video a Youtube.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Cibercriminales brasileños arrestados en 2013 – por desgracia, no se los condenó a prisión

Un grupo de cibercrimen brasileño suele estar compuesto por cuatro o cinco miembros, pero algunos pueden ser más numerosos. Cada miembro tiene un rol específico. El personaje principal es el “programador”, el encargado de desarrollar el programa malicioso, comprar exploits, crear un sistema de gestión de calidad para el programa, construir un sistema estadístico que el grupo usará para contar víctimas y empaquetar todo para facilitar las negociaciones con otros cibercriminales y simplificar el uso del producto. Algunos programadores trabajan con más de un grupo, pero la mayoría prefiere no ensuciarse las manos con dinero robado. Sus ganancias provienen de la venta de sus creaciones a otros criminales. Un programador puede ser el líder de un grupo, aunque no es lo más común. Casi nunca se los arresta.

Cada grupo tiene uno o dos spammers, que compran listas de correos, alojan el servidor virtual privado (VPS) y diseñan la “engenharia” (la ingeniería social para los mensajes que envían a las víctimas). También son los encargados de propagar la infección lo más posible. Los spammers también pueden tener experiencia en alterar servidores web para poder insertar un iframe malicioso en los sitios web comprometidos. Los spammers no tienen un salario fijo: sus ganancias dependen de la cantidad de ordenadores que infecten. Es por eso que el programador debe incluir un contador de víctimas en el malware, para calcular el pago del spammer.

El grupo también tiene un reclutador que contrata mulas de dinero, también conocidas como “laranjas”. Es una tarea muy importante porque estas son las personas que estarán en contacto directo con la gente y serán los responsables de las actividades externas, como coordinar las transferencias de dinero, retirar las ganancias de los cajeros automáticos, pagar las cuentas (casi siempre desde tiendas de lotería) y recibir los productos adquiridos por Internet con las tarjetas de crédito robadas. En otras palabras, hacen los trabajos de incursión o “correria“. Es común que la gente que ocupa este puesto reclute a su propia familia como mulas de dinero, ya que pueden ganar hasta el 30% del dinero robado. Las mulas de dinero suelen ser los primeros en ser arrestados en operaciones policiales, seguidos del reclutador.

El líder del grupo se encarga de coordinar a los miembros y las actividades, negociar los nuevos capturadores de teclado con el programador, solicitar nuevos “engenharia” a los spammers y dirigir la “correría” de los reclutadores. También reclutan nuevos miembros para el grupo y negocian sus ganancias con otros grupos criminales. Los roles no son fijos; algunos miembros realizan varias funciones y trabajan con más de un grupo, y sus ganancias también varían. Asimismo, algunos criminales prefieren trabajar de forma independiente, vendiendo sus productos y servicios a varios grupos a la vez.

Otros abrieron tiendas virtuales para vender sus productos y promover sus servicios de una forma más cómoda para sus clientes. En estas tiendas, pueden comprar cifradores, servicios de alojamiento, servicios de programación para nuevos troyanos, etc. Este era el propósito de la “BlackStore” (ahora inactiva). Veamos los precios de sus productos:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño Un “cifrador” que evade 100% de las detecciones, 100 R$ (30.00 US$)

  • Compatible con Delphi y VB
  • Evade 100% de las detecciones de 30 antivirus
  • Compatible con más de 98 RATs
  • Compatible con más de 73 redes zombi
  • 30 días de servicio de cifrado
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Alojamiento: 17 US$
El lugar perfecto para alojar tu ataque phishing o programa malicioso, o hasta un script malicioso.

  • Alojamiento rápido
  • MySQL ilimitado
  • Dominio incluido
  • Cuentas de correo
  • Servicio al cliente 24/7
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Servicios de programación: 170 US$
“Concretamos tu idea. Dinos lo que tienes en mente, tu proyecto o aplicación, y ¡nosotros lo codificamos! Trabajamos con:
Programación de aplicaciones Desktop
Programación web
Compatible con todos los sistemas operativos
Compatible con todos los navegadores
Sistema sin errores
Sistema de licencias”
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Verificador de tarjetas de crédito robadas: 130 US$
“Echa un vistazo al más nuevo y actualizado verificador de tarjetas de crédito, creado para la prueba CCS, no hace falta el CVV”.

  • Verifica las tarjetas Visa, Master, Diners, Elo
  • Diseño simple y agradable
  • Código fuente limpio, sin errores

¡Revisa nuestra base de datos para ver imágenes de la aplicación!”

Playas, carnaval y cibercrimen: un vistazo al underground brasileño Red DNS 1.500 US$
El sistema más avanzado. El cambio del DNS permite hacer modificaciones en tiempo real en el equipo de la víctima

  • Abre una ventana emergente cuando accede a un sitio web
  • Abre una página falsa al visitar un sitio web específico
  • Espía todas las comunicaciones entre el servidor y el cliente
  • Inserta iframes con Adsense
  • Inserta banners para promover tarjetas de crédito
  • Panel de administración completo
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Applet maliciosa Java: 25 US$
El sistema más usado para realizar infecciones. Las applets Java permiten infectar a decenas de personas con facilidad.

  • Panel de control
  • Estadísticas
  • Más de 10 dominios con enlaces directos
  • Evasión de detecciones del 100%
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Facebook viral: 20 US$
Nuevo viralizador de Facebook, el sistema más versátil para aumentar los “Me gusta” y “Compartir”. Propaga los enlaces maliciosos con rapidez, unos cuantos “compartir” y tu virus no tardará en difundirse. Ofrecemos el servicio completo de paquete + dominio + alojamiento
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Difusor de spam VPS: 20 US$
“El sistema más poderoso de la actualidad para enviar spam. VPS envía 30.000 mensajes en 30 minutos”.

  • Todas las configuraciones son posibles
  • Opciones para reiniciar, formatear y apagar
  • Incluye scripts para enviar spam
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Sistema SPAM PHP: 10 US$
Para aquellos que quieren hacer una inversión pequeña, Spam PHP es una gran herramienta para los principiantes que quieran un sistema de spam básico.

  • 20.000 mensajes spam por hora
  • Garantía de 30 días
  • 80% de mensajes entregados
Playas, carnaval y cibercrimen: un vistazo al underground brasileño Capturador de teclado (Keylogger): 300 US$
“Un capturador de teclado para quienes busquen datos bancarios de calidad. Cuenta con un panel de administración para revisar todas las infecciones y guardar la información en tu correo”.

Bancos afectados:

  • HSBC
  • Itau
  • Caixa

La tienda cibercriminal, como cualquier negocio “profesional”, entrega un recibo con las compras:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Ladrones honestos: prueba de tus compras en el mercado negro virtual

Los criminales brasileños están adoptando las técnicas profesionales del crimen organizado de Europa Oriental. Están invirtiendo en tecnología y publicidad para aumentar sus ganancias. Los cibercriminales han comenzado a publicitar sus servicios en algunos foros cerrados para atraer a los novatos que no están acostumbrados a desarrollar sus propias herramientas:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

El texto dice: “Al comprar cualquier paquete de ingeniería social, también recibes paquetes para ataques bancarios, a tarjetas de créditos y millas de viajero frecuente. Además, un millón de mensajes spam gratuitos de soluciones inteligentes Bruno”. Otros servicios que se ofrecen con mayor frecuencia son los sitios que ofrecen “malware por encargo”, cifradores, FUDs (programas maliciosos indetectables) y un sistema completo para gestionar información sobre cuentas bancarias robadas:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

“FUD por encargo”, servicio de cifrado para los troyanos que ya han sido detectados

Un “panel de administración” tiene poder sobre todo el sistema y permite a los atacantes controlar los equipos infectados, recolectar datos bancarios y burlar las autentificaciones de dos factores (2FA) de todo tipo (SMS, token, contraseñas de un solo uso, etc.). Algunos sistemas también permiten el control de sitios web y dominios que se usan para propagar el malware y enviar spam y administrar listas de distribución de correo, todo en una sola solución.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Oferta de una herramienta de acceso remoto para superar las autentificaciones de 2 factores de bancos brasileños

Entre los servicios ofertados también hay ataques DDoS. Con el poder de miles de ordenadores infectados no es difícil lanzar ataques distribuidos de negación de servicio usando ataques SYN, de amplificación UDP y más. Esta es la lista de precios: 300 segundos: 8,3 $; 450 segundos: 13 $; 1.000 segundos: 28 $; 3.600 segundos: 40 $.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

DDoS por encargo: Paga por segundos de ataques para derrotar a quien desees

¿Cuánto vale tu tarjeta de crédito?

Los datos de tarjetas de crédito están entre la información más valiosa que intercambian los cibercriminales. Las tarjetas suelen clonarse de diferentes formas, incluyendo chupa cabras (skimmers) en cajeros automáticos y puntos de venta, páginas de phishing, capturadores de teclado instalados en los equipos de las víctimas y más.

El Banco Mundial asegura que Brasil tiene una de las mayores concentraciones de cajeros automáticos del mundo. Los criminales tienen más de 160.000 oportunidades para instalar un skimmer (también conocido como “dispositivo Chupa cabra”), y no pierden la oportunidad de hacerlo. Incluso puedes verlos durante el día, muy relajados, con sus sandalias y ropa de playa, mientras instalan skimmers en un banco lleno de gente:

[youtube https://www.youtube.com/watch?v=-iCs3dEHCyQ&w=560&h=315]

En cuanto a la clonación de tarjetas de crédito, Brasil tiene algunos de los criminales más creativos y activos del mundo. Por suerte, la mayoría de las tarjetas que se usan tienen tecnologías CHIP y PIN. A pesar de que hace poco se revelaron vulnerabilidades de seguridad en este protocolo, las tarjetas CHIP y PIN siguen siendo más seguras y difíciles de clonar que las de tarjetas magnéticas. Como los chips EMV se usan en todo el país, la mayor parte de la actividad de clonado se realiza en Internet, mediante ataques phishing, páginas falsas de bancos, ofertas fraudulentas y portales comerciales comprometidos que ofrecen productos caros por precios muy atractivos. Si realizas alguna transacción por Internet, tarde o temprano atacarán tu tarjeta: mediante phishing o comprometiendo un portal de comercio virtual.

Estos cotizados datos se venden en sitios web especializados y hasta canales IRC. Y no sólo los clonadores de tarjetas y cibercriminales forman parte de este negocio cibercriminal: también muchos criminales ‘tradicionales’ vinculados al tráfico de drogas y otras actividades ilegales.

El precio de una tarjeta de crédito clonada depende del banco, país de origen, etc.

  • Infinity: tarjetas como American Express o tarjetas internacionales se venden a 42 $ cada una.
  • Platinum: tarjetas de bancos multinacionales, 40 $ cada una
  • Black: tarjetas de crédito, 30$ cada una
  • Gold/ Premier: 25 $ cada una
  • Classic: de bancos nacionales, 22 $ cada una

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Publicidad de un criminal que vende datos de tarjetas de crédito robadas Hasta puedes pagarlas con tu propia tarjeta de crédito

Los robos de datos que impulsan ciberataques

El underground brasileño está sediento de datos personales y esto permite a los cibercriminales lucrar con el robo de identidad, ofreciendo oportunidades para comprar productos por Internet mediante “laranjas” o mulas de dinero, y hasta recolectar estos datos para vaciar tu cuenta bancaria, ya que muchos servicios de Internet piden datos personales para confirmar la identidad de un cliente.

Por desgracia, el país todavía no tiene leyes específicas que protejan los datos personales; los políticos siguen evaluando sus opciones. Por ende, los robos de datos a organizaciones gubernamentales y compañías privadas son muy comunes. Las compañías afectadas no están obligadas por ley a ponerse en contacto con sus clientes afectados ni a informarles que ha ocurrido un incidente.

Hace poco vimos unos incidentes muy serios que afectaban a algunos de los sitios web más populares y ponían en peligro las bases de datos del gobierno, el departamento de hacienda y otras instituciones. Con frecuencia se encuentran bases de datos filtradas a la venta en el mercado negro virtual, como la base de datos de DETRAN (el Departamento de transportes), pone en oferta la información de cinco millones de ciudadanos por sólo 50 US$:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Las vulnerabilidades en los sitios web gubernamentales son siempre graves. En 2011 se detectaron dos vulnerabilidades muy serias en el sitio web del Ministerio de Trabajo que expusieron una base de datos completa con seis meses de información sobre cada ciudadano del país. Una vulnerabilidad en la seguridad del sitio web dejó datos importantes a la intemperie, faltando sólo un número CPF (del documento de registro de contribuyentes) para que se pueda conseguir todo tipo de información sobre una persona.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

El CPF es uno de los documentos más importantes en Brasil. Su número es único y es un prerrequisito para abrir cuentas bancarias, renovar licencias de conducir, comprar y vender bienes raíces, solicitar préstamos, solicitar trabajos (en especial en el sector público) y obtener un pasaporte o tarjetas de crédito. Los datos filtrados facilitan que un cibercriminal se haga pasar por la víctima para robar su identidad para, por ejemplo, conseguir un préstamo de un banco.

Es ahí donde la filtración de datos se entrecruza con el phishing. La información de este tipo sólo puede obtenerse en incidentes de filtrado de datos. No es raro que los medios de comunicación brasileños descubran a criminales vendiendo CDs con datos del Ministerio de hacienda que, entre otra información, contiene números CPF. Los CDs con bases de datos completas filtradas de diferentes orígenes pueden adquirirse por 100 $. Estos datos filtrados ayudan a los phishers brasileños a componer mensajes en los que muestran el nombre completo y número CPF de su víctima para agregarles credibilidad a sus estafas. Ataques como este ocurren con regularidad desde 2011:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Mensaje phishing que incluye el nombre completo y número CPF de su víctima

La apabullante cantidad de datos filtrados de diferentes orígenes incentivó a los criminales brasileños a establecer bases de datos virtuales que organizan y permiten realizar búsquedas específicas entre los datos de millones de ciudadanos. Aunque las autoridades se esfuerzan por combatir estos sitios web, cada mes se crean nuevos servicios.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

El número CPF basta para conseguir todos los datos personales de un ciudadano

El problema de los comerciantes de datos

Otro problema relacionado con el mal manejo de los datos personales son los “comerciantes de datos”, compañías que recolectan información personal y la venden a empresas que quieren restringir su publicidad a grupos específicos, verificar la identidad de una persona para detectar fraudes o investigar a individuos particulares.

Las compañías locales como Serasa (ahora adquirida por Experian) son un blanco común de los estafadores y escritores de programas maliciosos. Como trabajan en protección contra fraudes y realizan perfiles completos de cada ciudadano, estas compañías cuentan con la base de datos más grande del país y la información que manejan es de gran valor para los estafadores.

Es por eso que los delincuentes ofrecen el acceso completo a estos servicios de comercio de datos mediante credenciales robadas a sus clientes que vienen en paquetes que cuestan 30 US$ por 15 días o 50 US$ por 30 días de acceso.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Otros criminales dan un paso más y fundan sus propios servicios de comercio de datos. Los dueños de estos servicios los publicitan para otros estafadores, ofreciendo un paquete completo para buscar bases de datos filtradas del gobierno y de fuentes privadas. Esta actividad está tan expandida que da la impresión de que no hay forma de escapar del cibercrimen brasileño.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Una base de datos con información del gobierno y de un comerciante de datos en el mismo servicio criminal

Los delincuentes publicitan sus servicios por todos los medios posibles, hasta redes sociales como Facebook. Una investigación de Tecmundo encontró evidencias de que empleados públicos eran cómplices de estos actos criminales, vendiendo bases de datos y credenciales.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Acceso a servicios de datos robados publicitados en Facebook

Un ataque phishing que puso en peligro el bosque amazónico

¿Puedes creer que un ataque phishing haya puesto en peligro los pulmones del planeta? Sucedió con IBAMA, el instituto Brasileño de Medio Ambiente y Recursos Naturales Renovables. IBAMA se encarga de regular la tala de árboles en la región amazónica y limitarla para que sólo las compañías autorizadas puedan hacerlo.

En una serie de ataques contra los empleados de IBAMA (que seguro se lograron con correos phishing como el de abajo), los criminales brasileños robaron sus credenciales de acceso e irrumpieron en el sistema virtual de la organización. Desde allí desbloquearon a 23 compañías que estaban suspendidas por crímenes medioambientales, otorgándoles permiso para que sigan extrayendo madera del bosque. En sólo 10 días, estas compañías extrajeron 11 millones de dólares en madera. La cantidad de árboles talados de forma ilícita fue suficiente como para llenar 1.400 camiones.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Página phishing de IBAMA para robar las credenciales de los funcionarios y aumentar la tala del bosque

Cooperación con los cibercriminales de Europa Oriental

Tenemos suficiente evidencia como para afirmar que los criminales brasileños están trabajando en cooperación con las bandas de Europa Oriental encargadas de ZeuS, SpyEye y otros troyanos bancarios creados en la región. Esta colaboración afecta de forma directa la calidad y el grado de peligro de los programas maliciosos brasileños, ya que sus autores agregan nuevas técnicas a sus creaciones.

A menudo aparecen criminales brasileños en los foros criminales rusos ofreciendo sus servicios, buscando muestras o comprando nuevos programas criminales y malware para cajeros automáticos y puntos de venta. El primer resultado de esta cooperación puede verse en el desarrollo de nuevos ataques como el que afecta al sistema de pagos Boletos en Brasil.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Cibercriminal brasileño escribiendo en ruso (muy mal) para vender el acceso a 400 puntos de venta infectados

También han comenzado a usar la infraestructura de los criminales de Europa Oriental, comprando alojamientos impenetrables o alquilándolos. “João de Santo Cristo” (que adopta su nombre de un personaje ficticio que aparece en una canción popular brasileña) es un ejemplo de ello: compró y alojó 14 dominios del malware Boleto en Rusia.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Por eso no es ninguna sorpresa que hayan comenzado a aparecer sitios web rusos comprometidos para alojar sitios web fraudulentos de Boleto:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Esto demuestra que los cibercriminales brasileños están adoptando nuevas técnicas a raíz de su colaboración con sus homólogos europeos. Creemos que esta es sólo la punta del iceberg, ya que estos intercambios suelen aumentar con los años a medida de que el crimen brasileño se desarrolla y busca nuevas maneras de atacar negocios y ciudadanos comunes.

Avances en el malware local

El contacto con el cibercrimen de Europa oriental afecta la calidad del malware brasileño. Por ejemplo, descubrimos que el malware Boleto tenía la misma forma de cifrado que ZeuS Gameover.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

La carga explosiva del malware Boleto tiene el mismo cifrado que ZeuS

También vimos que los programas maliciosos brasileños usaban DGA (Algoritmos de Generación de Dominios) por primera vez. Trojan-Downloader.Win32.Crishi es uno de los programas que lo hizo y se distribuía en mensajes como este:

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Otra evidencia de los avances del malware brasileño gracias al trabajo conjunto con criminales de Europa Oriental es el uso de dominios de flujo rápido (fast flux) de los ataques de Boleto.

Conclusiones

Brasil es uno de los mercados más dinámicos y desafiantes del mundo debido a sus características particulares y su importante posición en Latinoamérica. La vigilancia constante de las actividades maliciosas de los cibercriminales brasileños ofrece a las compañías de seguridad informática una buena oportunidad para descubrir nuevos ataques relacionados con el malware financiero. En algunos casos, estos ataques son únicos, como sucedió con el uso de archivos PAC maliciosos.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Mensaje de los cibercriminales en un archivo PAC: reacción ante una buena detección

Para comprender la escena cibercriminal de Brasil por completo, las compañías antivirus deben prestar mucha atención a la realidad del país, recolectar archivos desde el mismo lugar, construir trampas virtuales y delegar la vigilancia de los ataques a analistas locales porque los criminales suelen restringir la infección y distribución de sus creaciones a los usuarios brasileños. Como sucede en Rusia y China, los criminales brasileños han creado su realidad propia y única que es muy difícil de comprender desde afuera.

Playas, carnaval y cibercrimen: un vistazo al underground brasileño

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

  1. Alfredo Melo Espinosa

    Me do lo referente a la seguridad en cuanto a la computación porque hasta el momento me cuesta trabajo hacer compras via internet desconfio mucho y quiero aprender sobre seguridad

  2. Juan Felipe Castellanos

    Últimamente no solo en Brasil, si no que también en latino américa ha aumentado el ciberobo y ciberchantaje. Es muy fácil ahora para un joven de 12-18 años conseguir una computadora, aprender programación PHP, HTML, encriptación, C, para robar o chantajear, hay miles y miles de tutoriales donde enseñan de manera sencilla los métodos y no es necesario ingresar a la Deep para encontrarlos. Aunque realizo algunos trámites por Internet, desconfío mucho de las páginas si me piden datos innecesarios, si tienen mucha publicidad, si me piden confirmación con correos sin crear usuarios. Si voy a navegar en páginas que no conozco con poca fiabilidad, abro el navegador de modo incógnito y cierro el navegador normal si tiene cuentas sincronizadas. En correos, si llegan correos con información de cuentas bancarias, ingreso a redes sociales que no conozco, correos con promociones de páginas que no me he inscrito. Como recomendación que dan los bancos, los antivirus y la gente, siempre que se realice un pago por internet, ingresar directamente la URL del banco, no tener programas de transferencia de P2P como Ares o torrents abiertos, menos juegos online, desconfiar si tarda demasiado en cargar y sobretodo, hacerlo en el computador de uso personal.

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada