Hacker brasileiro chama atenção mundial lucrando com malware bancário

Um estudante universitário de 20 anos, cujo nome no submundo é Lordfenix, se tornou um dos principais criadores de malware bancário do Brasil. Lordfernix desenvolveu sua reputação no submundo criando mais de cem cavalos de Troia online, cada um valendo mais de $300 dólares. Lordfenix é o mais recente de uma leva de cibercriminosos jovens e famosos que vemos hoje trabalhando sozinhos.

Quem é Lordfenix?

Lordfenix é um estudante de Ciência da Computação, de 20 anos, de Tocantins, Brasil. Pudemos rastrear sua atividade desde abril de 2013. Na época, ele estava operando com outro nome, Filho de Hakcer (com o hacker soletrado errado). Ele estava postando em fóruns, pedindo ajuda para a programação de um cavalo de Troia que, supostamente, estava criando.

Figura 1. Postagem no fórum feita por Lordfenix, então Filho de Hakcer
Figura 1. Postagem no fórum feita por Lordfenix, então Filho de Hakcer

Baseado em uma foto publicada no Facebook, na data de setembro de 2013, parece que ele teve sucesso em seu trabalho.

Figura 2. Postagem do Facebook se vangloriando de seu sucesso com seu cavalo de Troia
Figura 2. Postagem do Facebook se vangloriando de seu sucesso com seu cavalo de Troia

Roubo de informações através de navegadores falsos

Desde então, Lordfenix continuou a desenvolver e vender cavalos de Troia, um dos quais detectamos como TSPY_BANKER.NJH. Esse cavalo de Troia pode identificar quando um usuário digita qualquer URL de seus bancos alvos. Entre esses alvos estão o Banco do Brasil, Caixa e HSBC Brasil.

O cavalo de Troia, depois, consegue fechar a janela do navegador corrente (se for o Google Chrome), exibe uma mensagem de erro e abre uma nova janela do Chrome falso. Toda a sua rotina é quase imperceptível porque as janelas do navegador são alteradas de forma perfeita. No caso do navegador do usuário ser o Internet Explorex ou o Firefox, a janela original permanece aberta, mas a mensagem de erro e a janela do navegador falso ainda aparece.

 Figura 3. Janela do navegador falso
Figura 3. Janela do navegador falso
Figura 4. Site bancário falsificado do HSBC Brasil
Figura 4. Site bancário falsificado do HSBC Brasil
Figura 5. Site bancário falsificado do Banco do Brasil
Figura 5. Site bancário falsificado do Banco do Brasil

Se o usuário digita suas credenciais de login na janela falsa, o malware envia a informação de volta para o invasor, por email – o mesmo endereço de email que Lordfenix usava durante seus dias de “Filho de Hakcer”.

Para ter uma proteção adicional contra produtos de segurança, esse malware encerra o processo GbpSV.exe. Esse processo está associado ao software G-Buster Browser Defense, um programa de segurança que muitos bancos brasileiros usam para se defenderem contra roubo de informações e protegerem a privacidade de seus clientes durante as transações online.

Cibercrime de graça

Lordfenix ficou bastante confiante de suas habilidades. Nós o encontramos oferecendo versões grátis, totalmente funcionais, do código fonte do cavalo de Troia para membros do fórum do submundo. Ele afirma que essas versões grátis podem roubar credenciais de clientes de quatro bancos diferentes. Mas essa generosidade tem um limite. Se outros membros quiserem visar outros bancos, eles têm que entrar em contato e ele venderá o TSPY_BANKER.NJH. Nós verificamos esse cavalo de Troia e ele é, de fato, operacional.

Figura 6. Anúncio do código fonte do cavalo de Troia grátis, publicado no fórum
Figura 6. Anúncio do código fonte do cavalo de Troia grátis, publicado no fórum

Também o encontramos anunciando cavalos de Troia bancários através de seu perfil do Skype. Lá, os cavalos de Troia são chamados de keyloggers (KL) proxy – baseado nos recursos de keylogging do malware.

Figura 7. Perfil Skype de Lordfenix
Figura 7. Perfil Skype de Lordfenix

Cibercriminoso pretensioso

Com base em nossa pesquisa, Lordfenix criou mais de 100 diferentes cavalos de Troia, sem incluir suas outras ferramentas maliciosas, desde abril de 2013. Com cada cavalo de Troia custando cerca de R$1.000 (mais ou menos US$300), esse jovem cibercriminoso canalizou seu talento em programação para um empreendimento ilegal e lucrativo.

Além da facilidade de criação de malware, alguns outros fatores podem ter estimulado Lordfenix a criar sua própria pequena grande empresa:

  • O Brasil tem uma enorme base de usuários de banco online. Só em 2013, cerca de 51 por cento de todas as transações bancárias dentro do país foram feitas pela Internet.
  • O crime digital não é necessariamente a principal prioridade do Brasil. As penalidades contra os infratores são atualmente muito baixas.

Apesar de trabalhar sozinho e ter apenas 20 anos, Lordfenix conseguiu se tornar conhecido entre seus colegas criminosos. Sua história – de jovem cibercriminoso inflingindo graves danos – é quase idêntica a dos adolescentes desenvolvendo ransomware móvel na China. Ele também não foi o primeiro operador individual que notamos neste trimestre. Semelhante ao Frapstar (Canadá), aos cibercriminosos por trás do FighterPOS (Brasil) e do HawkEye (Nigéria), são todos atores individuais usando malware básico para lucrar.

No cibercrime não importa se o criminoso é um veterano ou um novato. O resultado continua o mesmo: usuários comuns se tornam vítimas.

Publicado originalmente por  em TrendLabs.