Loja ‘Black Store’ vende vírus e hospedagem para fraudes

Este é o primeiro texto de uma série sobre o cibercrime brasileiro.

Tudo o que um cibercriminoso novato ou inexperiente precisa para começar na “profissão” é dinheiro, nada mais. Não é necessário conhecimento técnico. Isso porque os criminoso mais experientes oferecem “serviços” ou mão de obra especializada que os novatos podem comprar ou alugar. Até então a “venda” desses serviços era limitada a contatos pessoais feitos em canais IRC, porém a demanda por tais produtos tem levado vários cibercriminosos brasileiros a criar sites de e-commerce onde eles vendem esses produtos e serviços para novatos no cibercrime.

Essa modalidade de venda é chamada de C2C (cybercrime to cybercrime), numa alusão às siglas B2C[1. Produtos e serviços para o mercado consumidor.] (bussines to consumer) e B2B[2. Produtos e serviços direcionados ao mercado corporativo.] (business to business).

A existência desses serviços apontam para a profissionalização e especialização do cibercrime brasileiro, seguindo os mesmos passos do crime organizado visto em outros países, especialmente no leste europeu. Nessa linha já foi noticiado um serviço de “SPC” dos criminosos, uma base de dados onde os maus pagadores eram listados, um sistema de reputação para evitar o “lote” (calote).

As lojas do cibercrime são públicas, o que demonstra a certeza de impunidade dos seus criadores, onde os “produtos” são oferecidos com descrições detalhadas, vídeos explicativos, com a possibilidade de suporte para os compradores.

Black Store

Mercadorias da Black Store
Crypter, para programadores de vírus, promete deixar a praga digital indetectável por antivírus.	Serviço de DNS para redirecionar internautas. Custa R$ 5 mil.
Hospedagem de arquivos maliciosos e páginas falsas, contando também com a possibilidade de envio de spam (o ‘inbox’).	Site vende o sistema mais utilizado de infecção, por Java, por R$ 80.
Por R$ 70, criminoso pode disseminar praga pela rede social.	Por R$ 70 é possível obter um servidor pronto para o envio de até 400 mil e-mails por hora.
Para quem pratica fraude de cartões, software testador é vendido por R$ 400.	Serviço de programação personalizado sai por R$ 500.

A BlackStore está no ar há alguns meses. A loja vende serviço de suporte para os compradores, softwares, código fonte de ladrões de senhas bancárias, cryptors, serviços de hospedagem, e até o serviço de disseminação de códigos maliciosos via Facebook, chamado de “viral”. As compras podem ser pagas através de boleto ou depósito bancário.

Para os interessados em códigos maliciosos as ofertas são diversas. Há um ladrão de senhas bancárias chamado de “KL 3”, que acompanha um painel de controle para gerenciamento dos dados roubados e estatísticas. Custa R$ 900,00. Applets em Java maliciosas são vendidas por R$ 80.

Para os “coders” — criminosos que programam seus próprios códigos maliciosos — há a venda de cryptors: softwares que realizam a criptografia dos programas maliciosos para deixá-los indetectáveis aos programas antivírus, ao custo de R$ 100. A hospedagem dos arquivos é ofertada por R$ 50 e tem “inbox liberado” — o que significa que o criminoso pode usar programas para envio de spam pelo servidor.

Mesmo que o criminoso interessado não tenha experiência em programação, há a venda de serviço de programação por R$ 500, como uma consultoria na criação de um trojan bancário.

Há ainda a oferta de produtos especializados para spammers interessados no envio em massa de emails maliciosos, seja via forms PHP (geralmente em sites que foram invadidos)  ou de serviços dedicados, chamados de VPS.

Um “viral” no Facebook pode ser adquirido por R$ 70, com direito a hospedagem de código malicioso.

Para os cibercriminosos especializados na clonagem de cartões de crédito, os “carders”, há a oferta de um software para testar os dados dos cartões roubados. O software é chamado de “Carder Test” e pode ser obtido por R$ 400.

O produto mais caro oferecido pela Black Store é o serviço de DNS malicioso, ao preço de cinco mil reais. Após ter o computador infectado, os servidores DNS da vítima são mudados para um controlado pelo cibercriminoso, que pode assim coletar todos os dados trafegados pela máquina, fazer alterações nas páginas visitadas, injentando códigos como iframes ou scripts que modificarão o que é visto pelo navegador da vítima.

Para “vender” o serviço de DNS malicioso há um vídeo em que os responsáveis pela loja detalham o funcionamento do mesmo.

O projeto completo é vendido por 15 mil reais. O executável da infecção por 8 mil. Se o comprador quiser apenas a hospedagem das páginas falsas (geralmente de banco) pagará R$ 7 mil. Caso não esteja interessado na compra, há ainda a modalidade de aluguel: 2 mil reais por semana.

Após efetuar a compra há a emissão do recibo com os dados para o depósito bancário.

---

Continuaremos no próximo post mostrando outras lojas de e-commerce usadas pelo cibercrime brasileiro.