Blog da Kaspersky

“Malware as a Service”: faça você mesmo seu trojan

Publicado: 
Fri, 07/06/2012
ShareThis

A prestação de serviços entre os cibercriminosos brasileiros é algo bastante comum. Numa indústria onde o objetivo é o ganho fácil de dinheiro, existe um verdadeiro comércio de serviços e produtos entre seus membros. As negociações mais comuns envolvem a venda de novos trojans desenvolvidos por coders, a venda de “infos” coletadas por spammers ou de trilhas de “CCs” (cartões de crédito) clonados por carders. Todos estes personagens se encontram e se comunicam em canais IRC, onde as negociações são iniciadas e concretizadas.

Diante de tal realidade não nos assusta ver a existência de escolas on-line criadas para treinar cibercriminosos novatos. Até mesmo um “SPC” para registrar a reputação entre os negociantes já existiu. Seguindo essa tendência, começam surgir no país os primeiros serviços de criação de malware personalizados, chamados de MaaS (Malware as a Service), cuja oferta é bastante comum entre cibercriminosos do leste europeu, e agora está sendo reproduzido em terras brasileiras.

Um serviço do tipo “MaaS” lançado recentemente por cibercriminosos brasileiros permite criar e hospedar um novo trojan personalizado, além de fazer a administração remota das máquinas comprometidas, pagando uma taxa mensal pelo uso do serviço – tudo feito em uma interface gráfica sem a necessidade ou experiência em programação.

Como todo serviço on line e com apelo comercial, os criminosos podem escolher a melhor forma de pagamento para começar a usar o serviço:

Como o público alvo são cibercriminosos novatos, há ainda a oferta de vídeo-aulas para ensinar a usar o serviço:

Os trojans gerados no serviço atuam como um RAT (Remote Admin Tool), que permitem controle total da máquina da vítima, além da coleta de informações pessoais como logins de acesso a serviços de rede social, IMs, serviços bancários, etc.

A interface principal do serviço que permite o gerenciamento do “negócio”:

A criação dos trojans personalizados, que segundo o serviço não podem ser detectados por programas antivírus:

Os links maliciosos se utilizam de nomes de sites populares e conhecidos entre os usuários, tais como:

www.4shared.as.bio.br/****inc.php?linkID
www.megaupload.as.bio.br/****inc.php?linkID
www.easy-share.as.bio.br/****inc.php?linkID
www.baixaki.as.bio.br/****inc.php?linkID
www.gmail.as.bio.br/****inc.php?linkID
www.hotmail.as.bio.br/****inc.php?linkID
www.superdownloads.as.bio.br/****inc.php?linkID
www.orkut.as.bio.br/****inc.php?linkID
www.facebook.as.bio.br/****inc.php?linkID
www.twitter.as.bio.br/****inc.php?linkID

Há ainda a opção de gerenciamento das campanhas de spam que são disseminadas para as vítimas:

 

Uma vez infectada, a máquina da vítima será acessada remotamente pelo criminoso:

 

O pagamento pelo serviço é proporcional ao número de computadores controlado pelo criminoso:

 

Isso tudo permite aos cibercriminosos mais experientes ganhar dinheiro não somente com os golpes, mas também vendendo seus serviços aos novatos no cibercrime.

Os trojans gerados por esse serviço malicioso são detectados e bloqueados pelo Kaspersky Antivirus.  

Rocket Fuel