Recentemente, a Trend Micro – líder mundial em soluções de segurança na era da nuvem – investigou um suspeito postando em um fórum do underground Russo que levou à descoberta de mais de 136 mil credenciais de cartões de crédito roubados.
Figura 1. Post no Underground russo
O post do usuário pedindo ajuda com a conhecida família de malware de pontos de venda Virtual Skimmer não era particularmente incomum. No entanto, duas coisas se destacaram: em primeiro lugar, o post, apesar de ter sido escrito em Russo, não foi escrito por um nativo. A construção da frase não parecia correta. O post do usuário também alegava que ele tinha acesso a mais de 400 terminais de pontos de venda em postos de gasolina e lojas no Brasil. Este era um usuário brasileiro, fazendo perguntas em um fórum do underground Russo.
Como parte de seu post, o usuário deixou seu endereço de e-mail e usuário no Skype. Juntamente com o nome de usuário, foram identificadas outras atividades online, como uma resposta em um fórum oficial da Microsoft a uma pergunta sobre leitores de cartão de crédito com um post que propõe a venda de software. Vídeos relacionados ao esquema de roubo de cartões continham seu endereço de e-mail para que espectadores curiosos que quisessem “participar do negócio” pudessem entrar em contato diretamente.
Apesar disto, não parecia haver nada online que pudesse ajudar a descobrir a verdadeira identidade do usuário. No entanto, uma busca diligente no Google levou a um incrível “jackpot”: uma conta usada pelo suspeito no serviço de armazenamento de arquivos online 4shared. Além disso, todo o conteúdo desta conta – aproximadamente 1GB de informação – estava aberto para qualquer pessoa com acesso à Internet ver, sem a necessidade de um nome de usuário ou senha.
O que havia nesta conta?
Os arquivos na conta 4shared continham o que parecia ser um registro das atividades cibercriminosas que o usuário tinha realizado. A conta continha malware, modelos de phishing, e vários documentos com o que pareciam ser informações pessoais dos cibercriminosos, seus cúmplices e vítimas.
De acordo com a conta, o suspeito é um cidadão brasileiro que se descreve como um “homem de negócios”, cujos dados já foram entregues à Polícia. Além de dados pessoais, havia também ampla informação relativa às mulas de dinheiro do usuário. Foram encontrados vários documentos, incluindo recibos de cartão Visa e impressões de extratos de contas bancárias.
Alguns destes documentos podem não ser autênticos. No entanto, também parecia haver informações confidenciais destas mulas, incluindo imagens escaneadas de passaportes e identidades brasileiras oficiais. É difícil determinar se estes documentos pertencem a pessoas reais ou se os passaportes são falsos, uma vez que também foram encontrados arquivos de Photoshop de passaportes falsos no 4shared. Na conta, também foram identificados o que pareciam ser 136 mil números de cartões de crédito armazenados para uso futuro.
Tabela 1. Cartões roubados
Mais de 107 mil destes números são de cartões Visa, e mais de 20 mil MasterCards, com outras redes compondo o restante do total. A Visa é um parceiro oficial da FIFA, o que pode explicar por que os clientes Visa foram vítimas mais frequentemente.
A conta 4shared continha ainda as ferramentas que o criminoso pode ter usado para realizar seus ataques. Havia malware de ponto de venda pertencentes às famílias Virtual Skimmer e BlackPOS, que podem ter sido utilizados para realizar os ataques.
Além das ferramentas maliciosas mencionadas acima, havia dois outros programas úteis para o processamento de informações de cartões roubado. Um deles era um arquivo usado para gerar cartões de crédito com números válidos roubados. O outro é usado para verificar os números de cartão de crédito.
Haviam também modelos de vários sites de phishing armazenados dentro da conta. Alguns destes sites foram encontrados circulando muito recentemente, como um que aproveitava o andamento da Copa do Mundo.
Um desses modelos de phishing foi carregado no site comprometido de um restaurante e loja brasileiros. Os arquivos no referido site podem ser agrupados em dois: arquivos de 2011, aproximadamente, quando o site legítimo foi criado/modificado pela última vez; e 2014, quando o suspeito assumiu o controle do site e o usou para hospedar sua página de phishing.
No passado, os cibercriminosos vinham operando em grupos distintos. Havia comunidades no submundo Russo separadas de comunidades clandestinas da América Latina e assim por diante. Este já não é mais o caso: os cibercriminosos estão agora atravessando as fronteiras e combinando as várias ferramentas e recursos disponíveis para eles. Conforme os cibercriminosos se tornam cada vez mais capazes de trabalhar juntos, os ataques se tornam verdadeiramente globais.
Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidores. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo.