Origem do Jovem "Lordfenix"
Lordfenix é um estudante do curso de Ciência da Computação, e como já foi citado anteriormente, tem apenas 20 anos de idade. O jovem é natural do estado do Tocantins, situado na região norte do Brasil. A equipe da Trend Micro conseguiu fazer um rastreamento de sua atividade desde abril do ano de 2013. Naquela época, ele estava em atividade mas usando um outro nome, "Filho de Hakcer" ( ao invés de usar a palavra "hacker" corretamente, inverteu a posição das letras "k" e "c"). O jovem estava postando em fóruns, pedindo ajuda para a programação de um trojan que, supostamente, estaria criando naquele momento.
Informações Roubadas Através de Navegadores Falsos
Desde então, Lordfenix continuou a desenvolver e vender trojans, um dos quais foi detectado como TSPY_BANKER.NJH. Esse trojan pode identificar quando um usuário digita qualquer URL de seus bancos alvos. Dentre esses alvos estão o Banco do Brasil, Caixa Econômica Federal e HSBC Brasil. Além disso, depois que o trojan consegue fechar a janela do navegador corrente (se for o Google Chrome), ele exibe uma mensagem de erro e abre uma nova janela do Chrome (falso). Toda a sua rotina de ação é quase imperceptível, porque as janelas do navegador são alteradas de forma perfeita. No caso do navegador do usuário ser o Internet Explorer ou o Firefox, a janela original permanecerá aberta, mas a mensagem de erro e a janela do navegador falso ainda irão aparecer. Vale ressaltar o seguinte: caso o usuário digite as suas credenciais de login na janela falsa, o malware envia a informação de volta para o invasor, por email. Nesse processo malicioso, é utilizado o mesmo endereço de email que Lordfenix usava durante o tempo em que usava o codinome "Filho de Hakcer". Para conseguir uma proteção adicional contra produtos de segurança, esse malware finaliza o processo GbpSV.exe, processo que está associado ao software G-Buster Browser Defense, que trata-se de um programa de segurança que muitos bancos brasileiros usam para se defenderem contra roubo de informações e protegerem a privacidade de seus clientes durante as transações online que são realizadas.
Propagação das Versões Gratuitas e Comercialização do Trojan para Ataque a Outros Bancos
Lordfenix ganhou uma confiança muito grande em relação às suas aptidões como cracker. Ele foi encontrado oferecendo versões grátis, totalmente funcionais, do código fonte do cavalo de Troia que desenvolveu para membros do fórum do submundo cybercriminoso. Nesse contexto, ele afirma que essas versões gratuitas podem roubar credenciais de clientes de quatro bancos diferentes. Porém, essa generosidade tem um limite: caso outros membros do fórum tenham interesse em visar outros bancos além dos citados acima, eles precisam entrar em contato e assim, ele venderá o TSPY_BANKER.NJH. A partir daí, foi feita uma verificação sobre este cavalo de Troia e foi constatado que ele é, de fato, operacional. Além de tudo, o jovem foi encontrado anunciando trojans bancários através de seu perfil do Skype. Os trojans são chamados de keyloggers (KL) proxy, com base nos recursos de keylogging do malware.
Exploração de Talento para Disseminação de Pragas e Ausência de Maior Rigor nas Punições para Crimes Praticados via Internet
A partir da pesquisa que foi realizada, o hacker Lordfenix criou mais de 100 diferentes trojans, sem incluir suas outras ferramentas maliciosas, desde abril do ano de 2013. Com cada cavalo de Troia custando cerca de R$1.000 (mais ou menos US$ 300), esse jovem destaque no mundo do cybercrime canalizou seu talento em programação para um empreendimento ilegal e fortemente lucrativo. Além da facilidade de criação de malware, alguns outros fatores podem ter incentivado Lordfenix a criar a sua própria pequena grande empresa, dentre eles, o fato de que, no Brasil, há uma enorme base de usuários que acessam suas contas bancárias através da Internet. Só no ano de 2013, cerca de 51 por cento de todas as transações bancárias dentro do país foram feitas pela Internet. Além disso, o crime cibernético não é necessariamente a principal prioridade do Brasil. As penas aplicadas contra os cybercriminosos são atualmente muito amenas, e há uma necessidade de implementar maior rigor em relação a essas punições. Mesmo trabalhando sozinho e tendo apenas 20 anos, Lordfenix conseguiu se tornar muito conhecido entre seus colegas do cybercrime. Sua história de jovem cybercriminoso é muito semelhante a dos adolescentes que passaram a desenvolver ransomware móvel na China. Além do mais, ele também não foi o primeiro operador individual detectado e identificado neste trimestre. Muito parecido com o Frapstar (Canadá), com os cybercriminosos responsáveis pelo FighterPOS (Brasil) e com o HawkEye (Nigéria), são todos atuantes de modo individual, que utilizam tipos de malware mais elementares para alavancar seus lucros.
Muito importante ressaltar que no mundo do cybercrime não importa se o criminoso é experiente no ramo ou é um iniciante, pois o resultado continua o mesmo. E esse resultado, infelizmente, é que usuários comuns acabam caindo em armadilhas, sendo vítimas das ardilosidades do cybercrime e muitas vezes, tendo que arcar com prejuízos causados por estes verdadeiros estelionatários do mundo cibernético.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com.br/hacker.../#.Vb_XuvlViko