原文轉載於:https://securelist.com/analysis/publications/72782/russian-financial-cybercrime-how-it-works/

0x00 介紹

---

在巴西的地下犯罪市場中充斥著世界上最活躍，最有創意的一群網路罪犯。與中國和俄羅斯的網路攻擊活動類似，巴西的網路攻擊活動也有很明顯的地域特色。為了全面的瞭解這些特點，你需要在這個國家待一段時間，並理解其語言和文化。

在巴西地下市場中誕生了大量的網路威脅-主要是銀行木馬和釣魚活動。這些攻擊活動非常有創意，也頗具地域特色。在2014年，巴西是世界被評為世界上最容易遭遇金融攻擊的國家，巴西網銀木馬- ChePro系列，是世界上傳播範圍僅次於Zeus的木馬。

圖-2014年受銀行木馬嚴重影響的國家

巴西的釣魚活動的情況也差不多，同樣排名世界第一。不出意外，巴西的一些公司一定會出現在最頻繁遭遇攻擊的名單上。巴西的網路罪犯也在採用從東歐引進的一些技術，他們把這些技術引用到自己的木馬中，在全球範圍內發動了一系列的攻擊活動。這些活動包括大量針對ISP，調變解調器，網路裝置，Boletos等國內支付系統的攻擊活動。

圖-2014年受釣魚活動嚴重影響的國家

為了理解巴西的地下犯罪市場，我們想讓你見識一下他們的世界，研究他們的攻擊策略和心理狀況。我們會觀察信用卡、個人資訊地下市場，本地木馬中使用的新技術，以及他們對抗外國犯罪分子的方法。

對於很多人來說，巴西以他們的文化，沙灘，桑巴和狂歡節聞名。對於安全專家，巴西的網銀木馬同樣聞名。

0x01 像“雌雄大盜”一樣：瘋狂地生活

---

對巴西罪犯的第一印象可能是他們很喜歡炫耀自己偷了多少錢，以及由此帶來的快感。他們把自己比作了羅賓漢：劫富（他們眼中的銀行，金融系統和政府）濟貧（他們自己）。大多數犯罪分子都是這麼認為的：他們認為自己是在偷銀行的錢，而不是個人的錢，因為本地法律規定金融機構有義務賠償受害者的任何錢財損失。

因為，目前的巴西法律並沒有把網路犯罪定義為犯罪活動，所以這些人都不會受到懲罰。卡羅琳娜迪克曼法（以著名演員命名，她的計算機上的裸體照片失竊了）在2013年透過，但是，這項法律並不能有效地懲罰網路罪犯，因為處罰太輕，司法系統太遲緩。很常見的就是，攻擊者被捕了3到4次，在不交付罰金的情況下就被釋放了。缺少有效的立法手段以及政策腐敗就是網路犯罪的溫床。

能夠證明網路罪犯不懼怕法律訴訟的強有力證明就是你能在網路上很容易地找到他們的照片，在社交網路上看到他們的個人簡介。他們總是在炫耀自己偷到了多少錢，自己活得有多麼爽，在狂歡節上招妓等等。

令巴西聲名狼藉的一點是，在這裡有大量像“雌雄大盜”一樣的犯罪分子過著體面的生活。他們偷了多少錢？不少。根據巴西聯邦銀行（FEBRABAN）的說法，在2012年，當地的銀行損失了14億雷亞爾（大約5億美元），都是透過網銀，電話轉賬或信用卡克隆支付給了詐騙分子。

巴西的網路犯罪有著龐大的目標受眾：巴西有超過一億名網路使用者，1億4千1百萬名市民使用電子投票系統，每天有超過5千萬民使用者使用網銀服務。

線上影片中有的是在慶祝犯罪生活，比如這首歌“Hacker’s Rap”。歌詞中就是在歌頌一名網路罪犯的生活，利用其知識來竊取銀行賬戶和密碼：

影片連結-https://youtu.be/ID2GUCqUhH0

歌詞中寫道：“我是虛擬世界的一名恐怖分子，犯罪分子；在網路上，我傳播恐怖，我神經過敏；我會入侵你的PC，所以舉起手來；你再也無法尋歡作樂，你的密碼是我的了”。

在Youtube的一個影片中-“Cloned credit card rap”，犯罪分子拿著大把的銀行卡在炫耀自己的錢。

歌詞中還唱到：“無論你是上班族還是小賊，我們克隆你的銀行卡，我身高171，是個職業的騙子，還會克隆你的卡，我們偷富人的錢，就像羅賓漢，我是…”

近期，巴西聯邦警察逮捕了一座豪宅的主人，這座豪宅價值300萬雷亞爾，是犯罪分子透過Boleto木馬竊取的贓款購買的。在巴西，網路罪犯很富有，相當富有。

0x02 C2C: 網路犯罪到網路犯罪

---

像其他地下團體一樣，巴西的網路罪犯也是分為中小型團體，有著各自的專業領域，會彼此出售服務或合作。“獨立的”犯罪分子也很常見，但是總的來說，他們還是會合作來完成任務。

巴西地下世界主要是利用網際網路中集聊天（IRC）頻道來談判，出售或購買木馬和服務。有的還會使用Twitter或Facebook等社交網路，但是大多數內容還是隱藏在IRC頻道和封閉論壇中，只有論壇成員邀請你或批准你加入論壇。犯罪分子會透過IRC聊天，交換關於攻擊活動的資料，出售服務以及從網站上竊取的個人資料，而開發者可能會銷售木馬，垃圾郵件傳送人，資料庫和服務。這些活動完全是C2C（網路罪犯到網路罪犯）的 。對於此類活動，兩個最受歡迎的IRC網路是FullNetwork 和 SilverLords。

但是，在犯罪組織中，經常遇到的一個問題是“calote”，也就是老賴-這些人從地下市場上購買了服務或軟體，但是不付錢。很快，賣家就會來報復。首先，賣家會公佈這些人的真實身份，從而引起執法部門的注意；接著，賣家會把這些人的姓名加入到一個信譽資料庫，透過“黑名單”和“白名單”，能幫助“社群”在進行交易前，首先判斷客戶的信譽。

圖-Fullnetwork.org上的 一個地下市場名譽系統：用於預防賒賬

在巴西地下市場中，幫派競爭也很常見-有些團體甚至會慶祝其他犯罪分子被捕的訊息。Alexandre Pereira Barros就遇到了這樣的事情，他負責的是SilverLords網路。在2013年 4月份，Alexandre Pereira Barros和另外3名犯罪分子因為詐騙，攻擊金融系統，信用卡克隆，駭客攻擊等行為被捕。這個小組在巴西戈亞斯設立了一個彩票銷售點，盜竊了250.000美元。為了“慶祝”他們被捕，其他的犯罪分子在Youtube上放出了一段影片，報復他們沒還債：

圖-在2013年被捕的犯罪組織-但是，他們最終沒有入獄

一個典型的巴西犯罪小組會由4到5名成員組成，但是有些小組的規模會更大。每名成員都有各自的角色。其中的主要成員是“開發者”，負責開發木馬，購買漏洞，建立木馬質量保證系統和統計系統，從而讓犯罪小組統計受害者數量；然後把這些東西打包，便於與其他犯罪分子議價和使用。有些開發者會加入多個犯罪小組，而且一般不願意染指贓款。他們的收入來源是透過向其他的犯罪分子銷售自己編寫的程式。開發者也可能是一個小組的領導者，但是不常見。他們很少被捕。

每個小組中都會有1到2名垃圾郵件傳送人，他們負責購買郵箱名單，VPN，並設計“engenharia”（郵件資訊中使用的社會工程）。他們的角色一般是儘可能大範圍地實施感染。這類成員一般都有入侵伺服器的經驗，在入侵了伺服器後，他們就會在受感染的網頁上注入一個惡意的iframe框架。他們的收入不固定：取決於受感染的受害者數量。這就是為什麼開發者需要在木馬中編寫一個受害者計數器，因為需要根據這些資訊來計算給他們多少錢。

小組中還有一名招募人，負責僱傭錢騾子。這是一項非常重要的任務，因為這名成員會直接與使用者接觸，並負責外部活動，例如協商轉賬準備，從ATM中取款，付賬單（一般是在彩票銷售點）和收貨（利用竊取到的信用卡從網上買的東西）。這名招募人經常會僱傭自己的家庭成員充當錢騾子的角色，因為他們能賺到總收入的30%。一般情況下，警察最先抓捕的就是錢騾子，緊接著就是招募人。

小組的真正領導負責協調其他的成員和所有的活動，與開發者協商新的“KLS”（鍵盤記錄器），要求垃圾郵件傳送人採用新的“社會工程技術”，或讓招募人傳送“突襲”。招募人還負責招募新的小組成員，與其他的犯罪小組協商產品。他們的角色也不是固定的；有些成員可能會執行多種功能，或者與不止一個小組合作，他們的收入也不一樣。有些犯罪分子更喜歡獨立的工作，向其他的小組出售服務或產品。

有些犯罪分子還開設了線上商店來銷售他們的產品，更人性化地推廣他們的服務。在這些商店中，你可以購買加密程式，託管服務，木馬編碼服務等。“BlackStore”（現在已經下線了）的目的就是這樣。 我們看看這些“商品”的價格：

作為一家“專業的”商店，他們還會提供購買收據：

圖-誠實的小偷：證明你在地下市場購買了商品

現在，巴西地下犯罪市場也採用了東歐的職業化有組織犯罪模式。 他們在技術和市場上的投入是為了獲取更高的利潤。在一些封閉論壇上，犯罪分子甚至開始宣傳自己的服務，希望能吸引以前沒有自己開發過工具的新使用者：

上面寫著：“購買社會工程工具，賺銀行家、信用卡的錢，飛往全世界。Bruno Dias智慧解決方案為您提供100萬條免費的垃圾郵件。”其他的服務還有還有線上提供的“服務木馬”，加密程式，FUD（完全無法檢測的木馬），以及一個完整的管理系統，可以管理銀行賬戶資訊：

圖- “FUD服務”，加密已經檢測到的木馬

透過“管理皮膚”可以管理完整系統，允許攻擊者控制受感染的機器，收集銀行資料並繞過任何形式的雙重驗證（2FA）（簡訊，令牌，OTP（一次性密碼）等）。有些系統還允許控制用於傳播木馬、傳送垃圾郵件、管理郵箱列表的網站和域名，都可以透過一個解決方案完成。

圖-在地下市場上銷售的遠端訪問工具，用於繞過巴西銀行的2FA認證

其他產品還包括DDoS攻擊，SYN攻擊，UDP放大攻擊等。價格如下：8.3美元300秒，13美元450秒，28美元1000秒，40美元3600秒。

DDoS攻擊：用幾秒鐘的時間幹掉你的目標

0x03 你的信用卡花了多少錢？

---

在犯罪分子之中，信用卡轉儲是最有價值的資料。克隆信用卡的方式有很多，包括安裝在ATM上安裝密碼竊取工具，POS機，釣魚頁面，在PC上安裝的鍵盤輸入竊取工具等。

根據世界銀行的統計，巴西ATM終端的密集程度是最高的。犯罪分子有超過160,000個機會能在APT機上安裝密碼盜取工具（也叫做“Chupa Cabra裝置”），而且犯罪分子也經常會這樣做。即使是大白天，你也能看到他們穿著邋遢的服飾在人頭攢動的銀行裡安裝密碼盜取裝置：

影片連結-https://www.youtube.com/watch?v=-iCs3dEHCyQ

當談到信用卡克隆時，巴西的犯罪分子總是最有創意，最活躍的。幸運的是，大多數在用的 信用卡都內建了CHIP和PIN技術。儘管最近有新聞說這些協議中存在漏洞，但是與磁刷卡相比，CHIP和PIN卡仍然更安全，更難克隆。因為，這些EMV晶片在全國都有使用，所以大多數克隆活動都是線上進行的，可能會利用釣魚攻擊，虛假的銀行頁面，虛假的贈品和電子商務入口網站，以極低售價的昂貴產品來吸引受害者。如果你參與了任何形式的線上商務活動，遲早你的信用卡會受到攻擊：透過釣魚或入侵電子入口網站。

這些受歡迎的資料轉儲是透過專業網站或IRC渠道銷售的。並且，不僅僅網路罪犯會參與地下交易 ，很多“傳統的”罪犯也會參與地下業務：

取決於不同國家的銀行，克隆信用卡的收費也是不同的。

• - 無限卡: 帶有American Express標誌的卡，或國際卡，42美元一張
• - 白金卡: 跨國銀行的卡，40美元一張
• - 黑卡: 30美元一張
• - 金卡: 25美元一張
• - 經典卡: 國家銀行發行的卡，22美元一張

圖-犯罪分子銷售信用卡轉儲的廣告：可以用你的信用卡付款

0x04 資料入侵事件促進了網路攻擊活動

巴西地下市場非常渴望個人資料-這些資料能允許網路罪犯從中獲利，從而購買產品或僱傭錢騾子，甚至是透過這些資料來偷你賬戶裡的錢，因為一些線上服務需要個人資料來確認客戶身份。

不過，巴西並沒有實施具體的法律來保護個人資料-此時，政客們還在評估他們的選擇。所以，資料入侵在政府組織和私有企業中頻發。目前，法律並沒有規定受影響企業有義務通知客戶已經發生的事件。

近來，我們觀察到了一些非常嚴重的資料入侵事件，影響了一些大型網站、政府部門，IRS和其他機構的資料庫。在地下市場上，洩密的資料庫到處都有銷售，500萬份市民資料只需要50美元：

政府網站中存在嚴重的漏洞。在2011年，勞動部網站上出現了兩個非常嚴重的漏洞，在六個月的時間中，暴露了所有市民的資訊資料。網站上的安全漏洞會導致敏感資料外洩，僅僅透過CPF號碼（巴西的SSN）就可以查詢到某個市民的詳細個人資訊。

對於每一名居住在巴西的市民來說，CPF是最重要的一份檔案。上面的號碼是唯一的，也是辦理一些業務的前提，比如銀行開戶，考駕照，購買或出售房產，申請貸款，就業（尤其是政府部門），辦理護照，申請信用卡等。網路罪犯可以利用洩密的資料來偽裝成受害者或竊取他們的身份，從銀行申請貸款。

在這種情況下，資料洩露才能滿足釣魚攻擊者。這類資訊只能透過資料洩露事件獲取。不出意外，巴西媒體會發現犯罪分子在透過CD的方式，銷售從巴西IRS系統中竊取的資料，這其中包含有大量的敏感資料，CPF號碼。僅僅用100美元，你就能購買到包含完整洩露資料庫的CD。由於這類資料入侵事件，巴西的釣魚攻擊者利用這些資訊和受害者的CPF號碼來發動攻擊，嘗試讓虛假資訊更可信。下面的這起事件就是在2011年發生的：

圖-在這條釣魚資訊中顯示了完整的受害者姓名和CPF號碼

由於洩露個人資料的來源眾多，巴西的犯罪分子透過線上服務，提供了包含有上百萬名市民資料的資料庫和搜尋功能。雖然，政府正在努力取締這類網站，每個月還會出現新的服務。

圖-透過CPF號碼就足以找到所有關於你的個人資料

0x04 資料代理人的問題

---

與個人資料管理相關的另一個問題就是“資料代理人”，也就是收集個人資訊再轉賣的公司，購買這些資訊的公司會利用這些資訊定向地製作廣告或營銷；或者是驗證某個人的身份是不是在進行詐騙；或者把這些資訊銷售給個人和組織，這樣他們就可以進行具體的研究。

本地的一些公司，比如Serasa（現在已經由Experian收購）經常是釣魚活動和木馬攻擊的目標。因為這些公司的資料庫是巴西規模最大的詐騙防護資料庫，並且還包括了所有市民的個人資料。對於詐騙分子來說，入侵這些資料庫是很有價值的。

所以，不出所料，有大量的詐騙分子會竊取客戶憑據來入侵資料代理人的資料庫，然後再轉賣，訪問15天需要30美元，30天需要50美元：

其他犯罪分子走的更遠，並建立了自己的資料代理人服務。這些服務的所有者把這些服務推廣給市場中的其他詐騙分子，允許從政府或私有企業洩露的資料庫 中搜尋資訊。這類活動的泛濫給人們造成的感覺是，巴西的網路罪犯總是能透過各種方式找到你。

-在同一個地下市場上，提供了政府和資料代理人的資料庫

為了宣傳他們的服務，詐騙分子會利用各種渠道，甚至是Facebook這樣的社交媒體。在Tecmundo公佈的檔案中，他們發現有些攻擊人員也參與了資料庫和憑據的銷售。

圖-在Facebook上宣傳訪問竊取到的資料服務

0x05 釣魚攻擊是怎樣入侵了亞馬遜雨林？

---

你能相信釣魚活動入侵了世界上最大的熱帶雨林嗎？這就是IBAMA，巴西環境與可再生自然資源研究所遇到的情況。IBAMA負責限制亞馬遜地區的樹木開採，確保只有授權企業可以開採。

在一系列針對IBAMA員工的攻擊中（可能是利用與下面類似的釣魚活動），巴西的犯罪分子成功竊取了憑據併入侵了IBAMA的線上系統。然後，他們解鎖了23個受到環境犯罪指控的公司，允許他們繼續在雨林中伐木。在僅僅10天中，這些公司就透過木材賺了1千1百萬美元。非法開採的樹木能裝滿1,400輛客車。

圖-傳送給IBAMA的釣魚頁面：為了竊取憑證並在雨林中伐木

0x06 地下市場與東歐的合作

---

我們有充足的證據能證明巴西的犯罪分子在與東歐的團伙合作，包括ZeuS，SpyEye和其他銀行木馬。這種合作直接影響了巴西木馬的質量和威脅級別，因為木馬作者引入了新的技術。

巴西犯罪分子並不經常在俄羅斯的地下市場中尋找樣本，購買新的犯罪軟體和ATM/POS木馬，或談判，提供他們的服務。這種合作的結果可以從新攻擊活動的開發中看到，比如，影響了巴西Boletos支付系統的攻擊活動。

圖-巴西犯罪分子用俄語銷售對400臺受感染POS機的訪問

他們還使用了東歐犯罪分子的基礎設施，有時候購買託管服務，或出租這些基礎設施。“João de Santo Cristo”（一首巴西歌謠中的虛構人物）就是其中的一員，購買了14個Boleto木馬域名，並託管在了俄羅斯：

我們已經開始注意到俄羅斯的網站遭到了入侵，並託管了虛假的Boleto網站：

這些證據表明，由於與東歐的合作，巴西的網路罪犯在採用新的技術。我們認為這只是冰山一角，因為在這幾年中，這種交流越來越多，因為巴西犯罪分子在開發和尋找新的方式來攻擊企業和個人。

0x07 本地木馬的發展

---

與東歐犯罪分子的接觸影響了被巴西木馬的質量。例如，我們發現Bolet木馬確實使用了與ZeuS Gameover相同的加密方法。

圖-Boleto木馬的有效載荷加密方法-與ZeuS使用的加密方法相同

我們還發現，巴西木馬首次使用了DGA（域名生成演算法）。木馬-Downloader.Win32.Crishi就是其中之一，透過與下面類似的資訊進行傳播：

從Boleto攻擊活動中不斷變化的域名使用就能證明巴西的犯罪分子在與東歐合作。

0x08 結論

---

巴西市場是世界上最活躍也最具挑戰性的地下市場，鑑於其獨特的特點以及在拉丁美洲的重要地理位置。IT安全公司透過持續監控巴西的犯罪活動，發現了與金融木馬相關的新興攻擊活動。這些攻擊活動，由於使用了惡意的PAC檔案，都很有特點。

圖-犯罪分子在惡意PAC檔案中留給你的資訊：只有檢測到才能應對

為了全面地理解巴西的網路犯罪情況，防毒廠商需要密切注意這個國家的現實狀況，在當地收集檔案，在本地建立蜜罐，並派遣當地的分析師監控攻擊活動，因為大多數犯罪分子都會嚴格限制感染範圍和木馬傳播範圍，僅限於巴西使用者。與俄羅斯和中國的網路罪犯類似，巴西的犯罪分子也會建立自己的工具，這些特點是很難從外部理解的。