Subindo na Hierarquia

O Submundo Cibercriminoso Brasileiro em 2015

Equipe de Pesquisa de Ameaas Futuras (FTR)

Um Estudo do TrendLabsSM

AVISO LEGAL DA TREND MICRO

As informaes fornecidas aqui so apenas para fins
gerais e educacionais. No se destinam e no devem ser

ndice

interpretadas de forma a constituir um aconselhamento

jurdico. As informaes aqui contidas podem no se
aplicar a todas as situaes nem refletir a situao mais

atual. Nada aqui contido deve ser invocado ou posto em

prtica sem o benefcio da assistncia jurdica com base
nos fatos e circunstncias especficos apresentados e
nada aqui deve ser interpretado de outra forma. A Trend
Micro se reserva o direito de modificar o contedo desse

Participantes do
submundo

documento a qualquer momento sem aviso prvio.

Tradues de qualquer material para outras lnguas so
apenas uma convenincia. A preciso da traduo no
garantida nem implcita. Se surgirem quaisquer dvidas
relacionadas preciso da traduo, consulte a verso
oficial do documento na lngua original. Quaisquer
discrepncias ou diferenas criadas na traduo no

so vinculativas e no tm efeito legal para efeitos de

cumprimento ou imposio.
Apesar da Trend Micro fazer um esforo razovel para
incluir informaes precisas e atualizadas aqui, a Trend

Ofertas no submundo
brasileiro

Micro no d nenhuma garantia ou representao de

qualquer tipo para sua preciso, atualidade ou integridade.
Voc concorda que o acesso e uso e a confiana
neste documento e ao seu contedo por sua conta e
risco. A Trend Micro se isenta de todas as garantias de
qualquer tipo, expressas ou implcitas. Nem a Trend Micro
nem qualquer parte envolvida na criao, produo e
entrega desse documento responsvel por qualquer
consequncia, perda ou dano incluindo diretos, indiretos,
especiais, consequentes, perda de lucros comerciais ou
danos especiais, por danos decorrentes de acesso, uso
ou incapacidade de uso, ou em conexo com o uso
deste documento, ou quaisquer erros ou omisses no
seu contedo. O uso dessas informaes constitui uma
aceitao para o uso em uma condio como .

28
Desafios frente

O caminho mais rpido para o estrelato cibercriminoso pode ser encontrado

na Amrica Latina, principalmente no Brasil. Qualquer aspirante a criminoso
pode ficar famoso da noite para o dia apenas com um pouco de audcia e
com as ferramentas e treinamento certos, que existem em abundncia no
submundo indomado do pas.
Neste ltimo ano, observamos um afluxo de novos participantes na cena. A
maioria deles so indivduos jovens e ousados sem nenhum respeito pela
lei. Ao contrrio de seus colegas estrangeiros, eles no dependem tanto
da Deep Web para suas transaes. Eles exibem um desrespeito absoluto
pela lei ao usar a Surface Web, especialmente os sites de mdia social
populares como Facebook e outros fruns e aplicativos pblicos. Usando
pseudnimos online nesses sites, eles se exibem abertamente sobre suas
prprias minioperaes. Apesar de compartilhar o que sabem com seus
colegas, a maioria trabalha de forma independente, tentando superar a
concorrncia e subir na hierarquia, se tornando os principais participantes
nos campos escolhidos por eles.
Transaes bancrias online so seu maior alvo, tornando predominante
o malware bancrio e respectivos tutoriais. Essa tendncia continua
consistente com o que relatamos dois anos atrs1. Porm, desde ento,
tambm surgiram novas ofertas, inclusive tipos de ransomware regionais
e servios de consulta de informaes pessoalmente identificveis (de
Personally Identifiable Information ou PII). Mercadorias ilegais que s eram
comercializadas clandestinamente nas ruas do Brasil tambm passaram
para o submundo. Qualquer pessoa agora pode comprar dinheiro falsificado
e certificados de concluso de curso (diplomas) falsos online.
O atrevimento das operaes cibercriminosas no deveria surpreender. As
agncias policiais brasileiras j tm muito trabalho; criminosos surgindo
online so apenas mais um item na sua lista de desafios. Mesmo comeando
a investir na luta contra esse problema crescente, seus esforos sero
suficientes para diminuir o seu ritmo?

SEO 1

Participantes do submundo

Participantes do submundo
Os cibercriminosos brasileiros operam sozinhos ou em grupos, apesar de geralmente preferirem trabalhar
individualmente. Eles podem ser classificados em duas categorias desenvolvedores e operadores.
Os desenvolvedores so indivduos instrudos que transformaram o cibercrime em um trabalho lucrativo.
Eles ajudam seus colegas cibercriminosos fornecendo malware que eles mesmos criaram. Ao contrrio de
cibercriminosos de outras regies, eles no usam tanto a Deep Web. Como j foi dito, os cibercriminosos
brasileiros tm pouca ou nenhuma considerao pela polcia. Sua audcia permite levar suas operaes
para a Surface Web a parte da Internet que, ao contrrio da Deep Web, indexada pelos sites de
busca. Eles usam as plataformas de redes sociais como Facebook, Twitter, YouTube, Skype e
WhatsApp, alm de Internet Relay Chat (IRC), TorChat e fruns para transaes de negcios.
J os operadores adquirem ferramentas maliciosas dos desenvolvedores e buscam o lucro usando-as
contra determinados alvos.

Desenvolvedores
Os desenvolvedores tpicos so jovens e tm um conhecimento prtico de criao de software. Na
maioria das vezes, so estudantes que adquiriram suas habilidades na escola. Facilidade de acesso a
ferramentas e treinamentos de malware, alm de suas circunstncias financeiras, poderiam ser alguns
dos fatores que os levaram a comear a se aventurar no submundo. A fragilidade das leis do Brasil contra
o cibercrime tambm os tornam ousados o bastante para anunciar publicamente seu sucesso.
Um desses desenvolvedores o famoso Lordfenix, de 20 anos, de quem falamos em junho de 2015. Esse
estudante de cincia da computao conseguiu criar mais de 100 cavalos de Troia bancrios que podem
contornar as medidas de segurana dos bancos brasileiros. Isso fez com que ele ficasse famoso como
um dos principais criadores de malware bancrio do pas. Supe-se que ele comeou a desenvolver seu
prprio malware quando ainda estava no ensino mdio.

5 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 1: Lordfenix contando a seus amigos do Facebook que

tinha que estudar para o Exame Nacional do Ensino Mdio (ENEM)

Figura 2: Mensagem com o assunto, Aviso: As frias acabaram, que Lordfenix enviou aos operadores de seu
malware; poderia significar que ele ento teria mais tempo para trabalhar em suas criaes maliciosas

Figura 3: Postagem de Lordfenix se gabando do lucro gerado por seus cavalos de Troia

6 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Ns investigamos outro desenvolvedor profissional conhecido como Anntrax que publicou um vdeo
anunciando um cavalo de Troia bancrio de sua autoria. Ele continua sendo um participante ativo no
submundo at hoje. Uma captura de tela de seu computador mostra que ele usa parties de disco.
Especialmente interessante foi sua partio TRABALHO, que continha vrios diretrios de criaes
maliciosas como keyloggers, crypters e exploit kits.

Figura 4: Diferentes diretrios na partio TRABALHO do Anntrax

(Note que que isso foi tirado de um vdeo acessvel publicamente.)

Operadores
Diferente dos desenvolvedores, que vendem suas criaes para colegas cibercriminosos, os operadores
interagem com as vtimas reais. Eles compram malware dos desenvolvedores ou alugam a infraestrutura
de cibercriminosos atravs do modelo de negcios Crime-Como-um-Servio (de Crime-as-a Service ou
CaaS). Seu modus operandi varia, dependendo de como eles usam as mercadorias que compram. O
cibercriminoso por trs do FighterPoS um operador. As agncias policiais podem apreender com mais
facilidade os operadores, mas tm mais trabalho para rastrear os desenvolvedores de malware.
Em agosto de 2015, a Polcia Civil do Estado de Gois prendeu 20 pessoas envolvidas em clonagem
de cartes bancrios e outros tipos de fraude4. Esses presos supostamente roubaram um total de US$
200.000 dlares.

7 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

SEO 2

Ofertas no submundo
brasileiro

Ofertas no submundo
brasileiro
O submundo brasileiro est lotado de malware bancrio, o que pode ser em grande parte atribudo
contnua popularidade do banco online5 no pas. H tambm algumas novidades, como o ransomware
multiplataforma e regional (feito no Brasil e em portugus), aplicativos Android modificados e servios
relacionados a informaes pessoalmente identificveis. Os tutoriais continuam populares pois ajudam
os novatos do cibercrime a aprender truques importantes do negcio. Alguns instrutores podem tambm
usar esses cursos para recrutar membros para suas gangues.
O modus operandi criminoso tpico das ruas do Brasil se tornou digital e est atualmente agitando o
mercado do submundo no pas. Ns vimos, por exemplo, diplomas escolares falsos e dinheiro falsificado
venda.

Exemplos recentes no mercado

Ransomware
O enorme sucesso do ransomware e sua prevalncia global o torna uma ferramenta muito importante
no arsenal de qualquer cibercriminoso. Era apenas uma questo de tempo at que os cibercriminosos
brasileiros criassem suas prprias verses deste malware.
Por US$ 3.000 dlares ou 9 bitcoins, os cibercriminosos podem usar um nmero ilimitado de ransomware
multiplataforma no prazo de uma semana. Essas ameaas so executadas no Windows, Linux, Android,
iOS e dispositivos OS X. Eles criptografam arquivos JPG, .PNG, .GIF, .PDF, .TXT, .SQL, .DOC, .XLS,
.HTML, .HTM, .XHTML, .BMP e .PHP usando criptografia com padres 3DES (Triple Data Encryption

Standard), Advanced Encryption Standard (AES), DES ou Rivest Cipher 4 (RC4).

9 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 5: Por 9 BTC por semana, os cibercriminosos podem usar o ransomware

de sua escolha para realizar ataques
Em um anncio, o vendedor at observou que o ransomware FileCrypter inclui um painel completo
mostrando o nmero de dispositivos infectados, detalhes sobre os usurios que pagaram o resgate
e a quantia total recebida como pagamento at agora. O pagamento do resgate no garante que os
que desistiram no sero visados novamente, pois os cibercriminosos sabem que eles tm condies
de pagar. O fato de pedirem que as vtimas paguem em bitcoins (BTC) tambm sugere a crescente
popularidade da criptomoeda no pas.

Aplicativos Android modificados

Apps para Android modificados tambm apareceram recentemente no submundo brasileiro. Eles foram
configurados para pagar por crditos pr-pagos com credenciais roubadas de cartes de crdito. Melhor
ainda, nem exigem que os usurios digitem informaes adicionais, incluindo o nmero de Cdigo de
Verificao de Carto (CVC) e endereo de cobrana para completar as transaes. Esses pacotes de
aplicativos Android modificados (APKs) podem ser obtidos em fruns do submundo.

Figura 6: Postagem anunciando apps Android modificados para que os usurios comprassem crditos
pr-pagos com credencias de cartes de crdito roubados

10 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Esse surgimento de ofertas no submundo pode ser atribudo grande taxa de penetrao dos dispositivos
mveis no Brasil (142% at abril de 2015)7. A maioria dos brasileiros at acessava a web atravs de
dispositivos mveis ao invs de computadores. Mesmo as empresas e organizaes incentivam os
clientes a usar dispositivos mveis para todos os tipos de transaes de negcios.

Servios de consulta de informaes pessoalmente identificveis

Os cibercriminosos brasileiros tambm j comearam a oferecer servios que envolvem o roubo de
informaes pessoalmente identificveis de vtimas que eles podem ento vender para outras pessoas por
0,015 BTC (US$ 6,81*). Alguns cibercriminosos at declararam ter acesso s bases de dados de registro
de placas de veculo. As informaes pessoalmente identificveis roubadas podem ser hackeadas ou vir
de bases de dados comprometidas como o CadSUS (Cadastro do Sistema nico de Sade brasileiro).
Em alguns casos, os funcionrios do governo foram considerados culpados de vender acesso base de
dados nacionais.

Figura 7: Anncio promovendo a venda de informaes pessoalmente identificveis roubadas

Compradores de informaes pessoalmente identificveis roubadas podem facilmente registrar domnios
e enviar spam com vrias finalidades maliciosas.

_________
* A taxa de cmbio de 16 de dezembro de 2015 foi usada em todo esse estudo (1 BTC = US$ 461,26)

11 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Itens bsicos do submundo brasileiro

Malware
Os cavalos de Troia continuam tendo uma presena importante no submundo brasileiro. A maioria
dos malware bancrios vistos atualmente continua a ter ligaes com o Brasil (muitas vezes feitos ou
distribudos por locais ou residentes). Vrios fatores podem ter levado a isso, como a grande taxa de
adoo de banco online no pas. Mais de 40% da populao do Brasil realizou operaes bancrias
online em 2014. Os brasileiros preferem usar seus computadores ou smartphones para verificar seus
extratos online ao invs de ir aos bancos ou ligar para o atendimento telefnico8.

Japo

12%

Vietn

9%

EUA

9%

ndia

6%

Brasil

5%

Turquia

4%

China

4%

Reino Unido

4%

Filipinas

4%

Tailndia

3%

Outros

40%

Figura 8: O Brasil foi responsvel por 5% do nmero total de deteces de malware para banco online
no terceiro trimestre de 20159
Com base em nossa pesquisa, alguns malware bancrios conseguiram bloquear as telas de computador
ou dispositivo mvel depois de verificaes de segurana terem sido feitas enquanto os agressores
transferiam dinheiro ilegalmente em segundo plano. Esse recurso deu muito trabalho para as agncias
policiais ao rastrear os cibercriminosos responsveis.

Malware KAISER
O malware KAISER pode contornar o sistema de token baseado em tempo do Sicredi, entre outros. Eles
tambm podem colocar em grande risco clientes do Banco do Brasil, Ita, HSBC, Santander e Bradesco.
Os operadores normalmente enviam spam para infectar usurios com o KAISER. Sempre que o usurio
de um sistema infectado visita o site de um dos bancos alvos, o KAISER registra as teclas digitadas. Os
cibercriminosos, ento, ganham acesso aos nmeros da conta bancria.

12 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

O KAISER tambm abria uma janela (em cima das verdadeiras) para que os cibercriminosos pudessem
obter os tokens das vtimas. Quando analisamos uma amostra do KAISER, descobrimos uma janela
falsa (com um formulrio falso) que pedia que as vtimas inserissem seus tokens quando o Sicredi
(supostamente) os solicitava. Ao preencher esse formulrio, o token enviado para o operador do
KAISER que ento congela o computador ou o dispositivo mvel da vtima enquanto transfere o mximo
de dinheiro possvel para suas prprias contas.

Figura 9: Formulrio falso que aparece nos sistemas infectados

pelo KAISER quando o token do cliente do Sicredi solicitado.

Keyloggers Proxy
Os Keyloggers Proxy so conhecidos por direcionar o navegador das vtimas para pginas de phishing
todas as vezes que acessam os sites oficiais dos bancos alvos em computadores infectados. Eles tm
um recurso de acesso remoto de desktop que permite aos cibercriminosos acessar ou controlar as telas
das vtimas. Certas variantes tinham scripts PAC (Proxy Auto Configuration) que permitiam escolher quais
servidores proxy usar (de preferncia os que no podiam ser rastreados de volta para os operadores).
Encontramos uma postagem vendendo uma variante Proxy que tinha um recurso de acesso remoto e
vinha com um crypter personalizvel por R$ 5.000. Os compradores podem registrar as teclas digitadas
de at 15 sites, inclusive os do PayPal e do HSBC. Eles at tm acesso a servios de suporte 24 horas.

13 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 10: Postagem promovendo keyloggers Proxy

Keyloggers Remotos
Os keyloggers remotos tm a capacidade de falsificar todos os tipos de janelas de navegador, sempre
que os usurios acessam os sites do banco alvo usando os computadores infectados. E por R$ 2.000,
os operadores obtm suporte total e atualizaes a cada semana.

Figura 11: Recursos dos keyloggers remotos

Alteradores de DNS
Cdigos de fonte completos para alteradores de Sistemas de Nome de Domnios (DNS) so vendidos
por R$ 5.000 no submundo brasileiro. Os preos podem variar dependendo do nvel de conhecimento do
vendedor, linguagem de programao usada e rotinas de infeco. Ofertas como essas chegam em um
arquivo .ZIP com instrues detalhadas de uso e amostras de malware, quando compradas.

14 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 12: Exemplo de pacote de alterador de DNS vendido no submundo

Os alteradores de DNS redirecionam vtimas para pginas de phishing todas as vezes que elas acessam o
site alvo. Isso permite que os cibercriminosos roubem credenciais do site das vtimas (nomes de usurios,
senhas, etc.). Os alteradores de DNS podem no s afetar os computadores mas, como vimos, tambm
infectar roteadores domsticos10, como aconteceu em maio de 2015. A maioria dos alteradores de DNS
desenvolvidos no Brasil so escritos em JavaScript, apesar de verses compiladas tambm terem sido
encontradas no submundo.

Figura 13: Exemplos de contedo de pacotes compilados de malware DNS vendidos no submundo

15 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Treinamento de cibercrime
Carding
Encontramos um anncio para um treinamento de carding de trs meses de durao no submundo
brasileiro. O curso inclui aulas para criar malware, configurar botnets e obter dados de cartes de crdito
das vtimas, entre outros. No primeiro ms, os alunos so ensinados a obter acesso a uma base de
dados e roubar credenciais de carto de crdito. Depois, aprendem o que fazer quando uma compra
feita com um carto de crdito roubado aprovada, e como proceder caso sua mula de dinheiro
falhar. No segundo ms, os estudantes aprendem a clonar cartes (fisicamente) e a criar cavalos de
Troia (variantes Proxy e remotos, juntamente com cavalos de Troia bancrios com recursos de conexo
reversa). No ltimo ms, eles descobrem como criar crypters usando AutoIt, Visual Basic 6.0 e Visual
Basic .NET, e tambm a configurar uma botnet ZeuS ou Solar, entre outras coisas. Por R$ 300, pagos via
PagSeguro, os aspirantes a cibercriminosos e os novatos podem aprender a criar suas prprias variantes
de malware e pginas de phishing para roubar suas vtimas com a ajuda de mulas de dinheiro locais.
A venda de tutoriais sobre cibercrime deve ser lucrativa, pois essa a segunda vez que vemos este
instrutor em particular oferecendo treinamento de carding usando mdulos atualizados.

Figura 14: Site onde os aspirantes a cibercriminosos podem

se beneficiar de um treinamento de carding
Alm disso, o instrutor d acesso a hosts de VPS (servidor virtual privado), ferramentas e tutoriais
coletados em fruns clandestinos.
16 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Programao de crypter
Por apenas R$ 200, os cibercriminosos j podem ter um treinamento de programao de crypter
com suporte online via Skype. Eles tambm ensinam os alunos a tornarem seus crypters totalmente
indetectveis (FUD) usando o Visual Basic 6.0. Os alunos tambm recebem um vdeo de 1 hora e meia
como material suplementar, juntamente com acesso grtis a vdeos atualizados.

Figura 15: Postagem anunciando ofertas de um curso de modificao de crypter

Mercadorias relacionadas a carto de crdito

Acesso a painel de administrador de loja online
O acesso a painis de administradores de loja online tambm pode ser comprado no submundo brasileiro.
Esses painis fornecem acesso aos dados de carto de crdito de clientes da loja. Eles ainda podem
roubar de 40 a 170 conjuntos de credenciais de carto de crdito por dia. Os compradores so cobrados
dependendo de quantos conjuntos de credenciais eles desejam ter acesso.

17 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 16: Postagem anunciando acesso a painis de administrao de loja online comprometidos
Conseguimos entrar em contato com um vendedor desse servio que vendia acesso a painis
comprometidos que dava 40 credenciais de carto de crdito por dia por R$ 300, durante 21 dias (trs
semanas). Para ter acesso a 70 conjuntos de credenciais de carto de crdito por dia, os compradores
precisariam desembolsar R$ 500 por 14 dias (duas semanas). O vendedor at oferecia acesso a 170
credenciais por dia durante 20 dias a um preo especial de R$ 1.000.

Figura 17: Conversa com um vendedor de acesso a painis

de administrao de loja online comprometidos

18 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Credenciais de carto de crdito roubadas

Os cibercriminosos obtm credenciais de carto de crdito atravs de phishing, sites comprometidos
de bancos ou outros sites de pagamento, distribuindo cavalos de Troia bancrios. Eles tambm podem
obter essas informaes de skimmers em PDVs modificados que so instalados em estabelecimentos
empresariais legtimos.
Oferta

Preo

10 conjuntos de credenciais de carto de crdito

R$ 200

20 conjuntos de credenciais de carto de crdito

R$ 400

50 conjuntos de credenciais de carto de crdito

R$ 700

Tabela 1: Ofertas e preos de credenciais de carto de crdito

Figura 18: Postagem anunciando credenciais de carto de crdito venda

19 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Geradores de nmeros de carto de crdito

Apesar dos resultados dos geradores de carto de crdito no serem 100% confiveis, mesmo assim so
vendidos no submundo. Os geradores de nmeros de carto de crdito usam algoritmos especficos que
permitem gerar nmeros possveis de carto de crdito. Seus preos dependem de quantos nmeros
eles conseguem produzir. De novo, os resultados finais no so 100% confiveis e, assim, podem no
ser efetivamente usados para fazer compras online.

Oferta

Preo

Geradores de carto que do 50 nmeros

R$ 100

Geradores de carto que do 100 nmeros

R$ 200

Geradores de carto que do 150 nmeros

R$ 300

Tabela 2: Geradores de nmeros de carto de crdito vendidos no submundo

Figura 19: Postagem anunciando credenciais de carto de crdito venda (note que os nmeros
no vm de bases de dados de cartes de crdito roubados).

20 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Skimmers de PDVs
Como no submundo chins, os cibercriminosos no Brasil tambm vendem skimmers para PDVs. Eles so
usualmente baseados em mquinas Verifone VX 680 e custam R$ 8.000. Os cibercriminosos modificavam
os terminais PDV para poder roubar as informaes armazenadas na tarja magntica de todos os cartes
de crdito passados neles. Ns vimos at o gripper12 (um cibercriminoso) vender skimmers em massa
para PDVs e caixas eletrnicos em 2014.

Figura 20: Postagem anunciando skimmers PDV venda

Figura 21: Skimmers PDV venda

Esse modelo em particular vendido (VX 680) tem um leitor de carto de tarja magntica triple-track,
leitor de smart card (com chip e senha) e um teclado de senha. Ele tambm tem vrios recursos de
comunicao (via Bluetooth, Wi-Fi ou 3G). Dependendo da tcnica usada para modificar o terminal
PDV (atravs de modificao de firmware ou hardware), os vigaristas cibernticos conseguem receber os
dados roubados do carto de crdito via Bluetooth ou com um acesso fsico s mquinas.
Fraudes atravs de terminais PDV modificados precisam da ajuda de algum de dentro para instal-los
no lugar dos dispositivos legtimos. A pessoa infiltrada tambm ajuda os cibercriminosos a recuperar os
dados roubados dos terminais modificados. Os dados roubados do carto de crdito podem ento ser
usados em cartes clonados.
21 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Gravadores e leitores de smart card

Leitores modificados de cartes13 Europay, MasterCard e Visa (EMV) tambm so comumente vendidos
no submundo brasileiro. Em uma investigao em novembro de 2014, policiais brasileiros prenderam
10 pessoas envolvidas em casos de fraude que custaram mais de R$ 3,5 milhes s vtimas14. Parte
do modus operandi era convencer garons de restaurantes a usarem terminais PDV modificados para
pagamentos de carto de crdito. Esses garons recebiam R$ 1.000 para agir como cmplices. Os
terminais modificados tinham transmissores Bluetooth que os cibercriminosos acessavam mais tarde
para obter os dados roubados. Naquele mesmo ms, vrios cartes de crdito de chip e senha de
cidados dos EUA foram clonados e usados em compras fraudulentas depois de terem viajado para
o Brasil, nos levando a pensar que os carders brasileiros so bons em sua rea de conhecimento.

Treinamento e servios de aprovao de transaes de carto de crdito

A fraude de carto de crdito no para no roubo de dados. Depois de conseguirem as credenciais
roubadas, os cibercriminosos precisam trabalhar com colegas que so especialistas em fazer as
transaes feitas com esses cartes de crdito roubados serem aprovadas. Alguns dos fornecedores
desses servios ajudam os clientes a usarem as credenciais dos cartes roubados para comprarem
mercadorias online. At fornecem endereos fsicos para os clientes onde podem receber seus produtos
comprados. Alguns vendem mercadorias para clientes desconhecidos por apenas 30% dos preos
normais. Qualquer cibercriminoso disposto a pagar R$ 1.300 pode aproveitar os servios de aprovao,
que geralmente incluem suporte tcnico via WhatsApp ou Skype.

Figura 22: Anncio de produtos comprados com cartes de crdito roubados venda
Alm dos servios reais, treinamentos para ajudar outros cibercriminosos a conseguir a aprovao de
compras adquiridas com cartes de crditos fraudulentas tambm esto disponveis. Os alunos aprendem
como roubar credenciais de cartes de crdito e at a monetizar seu saque.
22 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 23: Anncio de treinamento de aprovao de transaes com cartes de crdito fraudulentos
Os alunos aprendem a roubar nmeros de cartes de crdito, aprovar compras fraudulentas (nos sites
Pontofrio, Apple Store, Amazon, eBay, Dell e MercadoLivre), consultar bases de dados, mascarar
seus endereos IP quando usam credenciais roubadas para suas compras online, determinar os extratos
disponveis dos cartes roubados, monetizar dados do carto roubado (comprar passagens de avio
para revender) e gerar dados infocc. Alm disso, descobrem o que so bins e o que InfoBanker, alm
de identificar em quais lojas eles podem comprar produtos com seus cartes roubados.

Documentos falsos e dinheiro falsificado

Crimes de rua, como vender documentos falsos e dinheiro falsificado, migraram para a web. Essa
tendncia pode ser atribuda a fatores socioeconmicos como pobreza e analfabetismo no pas. At
outubro passado, a taxa de inflao no Brasil era de 9,93%16.

23 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 24: Produtos de criadores de RGs falsos vendidos no submundo

Certificados de concluso de curso falsos

O sistema educacional atual do Brasil17, de certa forma, contribui para a falta de profissionais no pas.
Apesar do analfabetismo no pas ter diminudo, pelo menos 38% dos estudantes universitrios ainda so
considerados analfabetos funcionais. Portanto, no surpresa que certificados de concluso de cursos
secundrios (provavelmente para fins de emprego) agora apaream no submundo. Eles so vendidos por
R$ 300 cada, incluindo a taxa de envio. Alguns vendedores de dinheiro falsificado at oferecem envio
gratuito para compras de mais de 200 notas.

24 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 25: Certificados de concluso de curso (diplomas) falsos vendidos no submundo

Dinheiro falso
Notas falsificadas de R$ 10, R$ 20 e R$ 50 so vendidas no submundo brasileiro.
Oferta

Preo

Notas falsas no valor de R$ 750

R$ 100

Notas falsas no valor de R$ 1.500

R$ 200

Tabela 3: Preos de dinheiro falsificado vendido no submundo

Figura 26: Postagem anunciando dinheiro falso venda

25 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 27: Dinheiro falso com o nome do vendedor publicado online

Os cibercriminosos no Brasil so bem ousados. Eles no se importam que as agncias policiais vejam
seus nomes publicados online, ligados a atividades ilegais.

Outras ofertas ilcitas

Servios de acesso Internet e TV a cabo
Os cibercriminosos que tm acesso a redes de provedores de servio de Internet (ISPs) e operadoras de
TV a cabo, por exemplo, vendem servios para clientes que querem aumentar sua velocidade de acesso
ou privilgios. Por R$ 150, eles podem aumentar a velocidade de seu acesso Internet ou assistir a mais
programas na TV a cabo por um preo menor do que os normalmente cobrados pelos provedores.

Figura 28: Postagem anunciando servios de melhoria de Internet

26 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Figura 29: Conversa com um cibercriminoso oferecendo um servio de melhoria da Velox que custa
R$ 150 por um perodo de pelo menos seis meses a mais do que o perodo mximo de um provedor

Crypters
Como quase todos os fornecedores de segurana detectam a maioria dos malware bancrios e outros
arquivos maliciosos, os crypters se tornaram bsicos para o cibercrime. A maior parte dos crypters so
criados por meio da juno de cdigos, modificao de ponto de entrada (entry point ou EP), arquivo
executvel obrigatrio ou modificao de arquivo geral. Como em 2013, os crypters ainda podem ser
comprados no submundo por R$ 70. Alguns vendedores fazem uma promoo de apenas R$ 40 no final
do ano.

Figura 30: Postagem oferecendo um crypter totalmente indetectvel

27 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

SEO 3

Desafios frente

Desafios frente
O cenrio socioeconmico do Brasil tornou o pas um terreno frtil para os cibercriminosos. O lucro rpido
prometido por uma vida de crimes se tornou atraente o bastante para vrios indivduos. As ferramentas
e o treinamento que eles precisam esto todos disposio. S preciso ter coragem e know-how
para qualquer novato se dar bem. E como as atividades cibercriminosas no tm penas pesadas no
Brasil, como em outras regies como a Amrica do Norte, os criminosos promovem publicamente suas
operaes. Isso, por sua vez, atrai mais pessoas querendo seguir seu exemplo.
Apesar do cibercrime brasileiro prosperar na Surface Web novamente, em grande parte, devido ao
desrespeito dos cibercriminosos pela polcia prevemos uma grande mudana para a Deep Web no
futuro. Os desenvolvedores e operadores que usam mulas de dinheiro e contas bancrias para retirar seus
lucros ainda tm uma grande chance de serem pegos. Usar bitcoins e negociar em darknets diminuiriam
esse risco.
As agncias legais brasileiras tm uma tarefa rdua frente se quiserem derrubar o cibercrime local. Em
2015, eles se esforaram mais para combat-lo. Os agentes da lei fizeram parcerias com fornecedores
de segurana, como a Trend Micro, para treinamentos sobre o cibercrime e at colaboraram em algumas
investigaes. Mas esses exerccios no foram suficientes para derrubar o cibercrime no Brasil. rgos
legislativos tero que ser mais rigorosos com sanes para desencorajar os cibercriminosos individuais,
desenvolvedores e operadores. O governo nacional precisa investir mais recursos nas investigaes,
principalmente quando o cibercrime brasileiro migrar para o territrio da Deep Web. Essas tarefas podem
ser difceis agora devido aos desafios de imposio da lei mais urgentes atualmente no pas.
Iremos monitorar continuamente as atividades, tendncias e ofertas do submundo brasileiro.
Acompanharemos a adoo de criptomoedas, especialmente agora que o ransomware regional est
surgindo. Porm, como isso ir mudar a dinmica atual do mercado, ainda teremos que descobrir.

29 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Referncias
1. Fernando Mercs. (2014). Trend Micro Security Intelligence. O Submundo do Crime Digital Brasileiro: Um
Mercado de Aspirantes a Cibercriminosos? ltimo acesso em 14 de dezembro de 2015, http://www.trendmicro.
com.br/cloud-content/br/pdfs/141117_mercadosubmundobr.pdf.
2. Trend Micro. (28 de junho de 2015). Trend Micro Simplesmente Segurana. Hacker brasileiro chama ateno
mundial lucrando com malware bancrio. ltimo acesso em 15 de dezembro de 2015, http://blog.trendmicro.
com.br/hacker-brasileiro-chama-atencao-mundial-lucrando-com-malware-bancario.
3. Trend Micro. (13 de abril de 2015). Trend Micro Simplesmente Segurana. FighterPOS Combatendo uma Nova
Famlia de Malware PDV. ltimo acesso em 15 de dezembro de 2015, http://blog.trendmicro.com.br/fighterposcombatendo-uma-nova-familia-de-malware-pdv.
4. Vanessa Martins. (27 de agosto de 2015). globo.com. Polcia prende 20 suspeitos de clonar cartes e realizar
fraudes bancrias. ltimo acesso em 15 de dezembro de 2015, http://g1.globo.com/goias/noticia/2015/08/
policia-prende-20-suspeitos-de-clonar-cartoes-e-realizar-fraudes-bancarias.html.
5. allpago. (2015). allpago.com. The Spread of Internet Banking in LATAM. ltimo acesso em 15 de dezembro de
2015, http://www.allpago.com/2015/08/the-spread-of-internet-banking-in-latam/.
6. Trend Micro. (2015). TrendLabs Security Intelligence Blog. Ransomware (Resultados de Busca). ltimo acesso
em 15 de dezembro de 2015, http://blog.trendmicro.com/trendlabs-security-intelligence?s=ransomware.
7. Sam S. Adkins. (Maio de 2015). Ambient Insight Research. The 20142019 Brazil Mobile Learning Market. ltimo
acesso em 15 de dezembro de 2015, http://www.ambientinsight.com/Resources/Documents/AmbientInsight2014-2019-Brazil-Mobile-Learning-Market-Abstract.pdf.
8. eMarketer Inc. (25 de julho de 2014). eMarketer. Brazils Bankers Get Digital, Both Online and via Mobile.
ltimo acesso em 15 de dezembro de 2015, http://www.emarketer.com/Article/Brazils-Bankers-Digital-BothOnline-via-Mobile/1011051.
9. TrendLabs. (Outubro de 2015). Trend Micro Security Intelligence. Hazards Ahead: Current Vulnerabilities Prelude
Impending Attacks. ltimo acesso em 15 de dezembro de 2015, http://www.trendmicro.com/cloud-content/us/
pdfs/security-intelligence/reports/rpt-hazards-ahead.pdf.
10. Fernando Mercs. (12 de junho de 2015). Trend Micro Simplesmente Segurana. Malware DNS Changer de
olho nos roteadores domsticos. ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/
malware-dns-changer-de-olho-nos-roteadores-domesticos/.
11. Lion Gu. (2015). Trend Micro Security Intelligence. Prototype Nation: The Chinese Cybercriminal Underground
in 2015. ltimo acesso em 18 de dezembro de 2015, https://www.trendmicro.com/cloud-content/us/pdfs/
security-intelligence/white-papers/wp-prototype-nation.pdf.
12. Trend Micro. (21 de maro de 2014). TrendLabs Security Intelligence Blog. Mass-Produced ATM Skimmers,
Rogue PoS Terminals via 3D Printing? ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com/
trendlabs-security-intelligence/mass-produced-atm-skimmers-rogue-pos-terminals-via-3d-printing/.

30 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

13. Equipe Trend Micro FTR. (Abril de 2015). Trend Micro Security Intelligence. FighterPOS: Anatomia e Operao
de um novo Malware PDV. ltimo acesso em 16 de dezembro de 2015, http://blog.trendmicro.com.br/wpcontent/uploads/2015/04/FighterPOS-novo-malware-PDV-Brasil.pdf.
14. Globo Comunicao e Participaes SA. (16 de novembro de 2014). globo.com. Quadrilha usa bluetooth para
clonar cartes de chip e movimenta milhes. ltimo acesso em 18 de dezembro de 2015, http://g1.globo.com/
fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html.
15. Brain Krebs. (27 de outubro de 2014). Krebs on Security. Replay Attacks Spoof Chip Card Charges. ltimo
acesso em 16 de dezembro de 2015, http://krebsonsecurity.com/2014/10/replay-attacks-spoof-chip-cardcharges/.
16. Trading Economics. (2015). Trading Economics. Brazil Inflation Rate. ltimo acesso em 16 de dezembro de
2015, http://www.tradingeconomics.com/brazil/inflation-cpi.
17. Cynthia Fujikawa Nes. (12 de agosto de 2015). The Brazil Business. The Brazilian Educational System. ltimo
acesso em 16 de dezembro de 2015, http://thebrazilbusiness.com/article/the-brazilian-educational-system.

31 | Subindo na Hierarquia: O Submundo Cibercriminoso Brasileiro em 2015

Criado por:
Suporte Tcnico Global e Centro de Pesquisa e Desenvolvimento da TREND MICRO
TREND MICROTM
A Trend Micro Incorporated, lder global de segurana em nuvem, cria um mundo seguro para a troca de informaes digitais com suas solues de
segurana de contedo da Internet e solues de gerenciamento de ameaas para empresas e consumidores. Pioneira em segurana de servidores com
mais de 20 anos de experincia, fornecemos segurana avanada para clientes, servidores e ambientes em nuvem. Nossas solues se adequam s
necessidades de nossos clientes e parceiros; bloqueiam novas ameaas mais rapidamente; e protegem dados em ambientes fsicos, virtualizados e em
nuvem. Com a infraestrutura da Trend Micro Smart Protection Network, nossas tecnologias, servios e produtos lderes em segurana bloqueiam
ameaas onde surgem na Internet e so mantidos por mais de 1.000 especialistas em inteligncia de ameaas em todo o mundo. Para mais
informaes, acesse www.trendmicro.com.br.

2015, Trend Micro Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball so denominaes comerciais ou marcas
registradas da Trend Micro Incorporated. Todos os outros nomes de produtos ou empresas so denominaes comerciais ou marcas registradas de seus
respectivos titulares.