Ddos

Machine Translated by Google
Trend Micro Incorporada

Artigo de Pesquisa
2012
russo
Subterrâneo 101
Max Goncharov
Conteúdo
Introdução ................................................. .................................................. ........................................ 1

Criptografia de arquivos e serviços de criptografia .... .................................................. ....................................
1 Preços da Criptografia ......... .................................................. .................................................. ..................
2 Servidores Dedicados.......................... .................................................. ..................................................
3 Preços de Servidor Dedicado ............................................. .................................................. ............
3 Servidores Proxy ................................... .................................................. ..................................................
3 Bots SOCKS ................................................ .................................................. ...........................................4
Serviços VPN ..... .................................................. .................................................. ................................5
Preços do serviço VPN ............... .................................................. .................................................. ...5
Serviços de pagamento por instalação......................................... .................................................. ...............6
Preços do serviço pago por instalação.............. .................................................. ....................................6
Serviços de programação ........... .................................................. .................................................. ........ 7
Vendas de software ............................................. .................................................. ....................................
7 Preços dos serviços de programação ......... .................................................. ...........................................
7 Ataque Distribuído de Negação de Serviço Serviços................................................. ............................8
Preços de serviços de negação de serviço distribuídos............ .................................................. ...........8
Serviços de Spam................................... .................................................. ...................................10 Preços
de serviços de spam........ .................................................. ................................................10
Botnets .................................................. .................................................. ................................................11
Zeus . .................................................. .................................................. ...........................................11
Preços de botnets.... .................................................. .................................................. ........................12
Verificações de software de segurança...................... .................................................. ....................................13
Software de segurança verificando preços.... .................................................. ...................................13
Troianos............. .................................................. .................................................. ...................................13
Preços de cavalos de Tróia............. .................................................. .................................................. ................13
Rootkits ................................ .................................................. .................................................. .............15
Preços de rootkits.......................... .................................................. ...........................................15
Serviços de Engenharia Social... .................................................. .................................................. ......16
Serviços de hackers......................................... .................................................. ....................................16
Força Bruta......... .................................................. .................................................. ...................16
Adivinhando respostas para perguntas secretas ........................... .................................................. ......16
Explorando vulnerabilidades de sites........................................ .................................................. .17
Injeção SQL............................................. .................................................. .........................17
Scripting entre sites.................... .................................................. ..............................17 Script
entre sites de injeção SQL.... .................................................. ............................17 Usando
Sniffers, Trojans, Sites de Phishing e Engenharia Social ......... ............................17 Preços de
serviços de hacking......... .................................................. ...........................................18
PÁGINA ii | SUBTERRÂNEO RUSSO 101

Vendas de cópias de documentos digitalizados................................... .................................................. .......19

Preços de cópias de documentos digitalizados.......................... .................................................. ......19
Serviços de fraude por SMS......................................... .................................................. ...................................19
Preços de serviços de fraude por SMS......... .................................................. .............................................19
Serviços de ransomware.. .................................................. .................................................. .................20
Preços de serviços de ransomware......................... .................................................. ......................20
Vendas de Chaves Seriais........................ .................................................. .................................................. ......20
Explorações......................................... .................................................. .................................................. ....21
Preços de Exploração........................................... .................................................. ...................................22
Falsificações .............. .................................................. .................................................. ...................................23
Preços Falsos ............ .................................................. .................................................. ...................23
Trânsito.......................... .................................................. .................................................. ...................23
Preços de Tráfego.......................... .................................................. .................................................. 24
Serviços de otimização de mecanismo de pesquisa Blackhat......................................... ..............................24
Preços do serviço de otimização de mecanismo de pesquisa Blackhat ............. ...........................................25
Conclusão...... .................................................. .................................................. ................................25
Apêndice............... .................................................. .................................................. ...........................26
PÁGINA iii | SUBTERRÂNEO RUSSO 101

Introdução Serviços de criptografia e criptografia de arquivos
Este artigo de pesquisa pretende fornecer um breve resumo do A criptografia de arquivos é empregada principalmente para ocultar
submundo do crime cibernético e lançar luz sobre os tipos básicos de arquivos infectados ou malware de software de segurança. As ofertas
atividade hacker na Rússia. A maior parte das informações contidas no mercado de criptografia podem ser categorizadas em duas:
neste documento foi baseada em dados recolhidos em fóruns e prestação de serviços reais para criptografar arquivos individuais
serviços online utilizados por cibercriminosos russos. Também (por exemplo, arquivos .EXE e .DLL) e vendas de criptografia.
nos baseámos em artigos escritos por hackers sobre as suas Para ocultar um arquivo malicioso ou malware do software de
atividades, as ameaças informáticas que criam e o tipo de segurança, os cibercriminosos usam várias técnicas de criptografia.
informação que publicam nos sites de compras dos fóruns. Quanto mais eficaz for a técnica utilizada, mais cara será a lima.
Uma das coisas mais importantes a ter em conta nesta esfera é o

Há muito que a fraude online deixou de ser um mero hobby para crypter stub, um pedaço de código usado para descodificar um pedaço
se tornar um meio de os cibercriminosos ganharem a vida. Este artigo encriptado de código malicioso. Um stub de criptografia específico é
examina o que está sendo vendido nos fóruns de crimes cibernéticos anexado e usado em conjunto com um determinado arquivo
mais populares, como antichat.ru, xeka.ru e carding-cc.com; quais criptografado, aumentando um pouco o tamanho do arquivo final.
itens estão em demanda; e quais serviços os fraudadores
profissionais oferecem. Os criptografadores podem ser classificados como
estatísticos ou polimórficos. O stub de um criptografador estatístico
Os fraudadores consideram a Internet um campo de jogo. Possui muitos é um programa separado ao qual o arquivo criptografado está
sites vulneráveis e uma grande quantidade de dados desprotegidos. vinculado. Quando iniciado, o arquivo é extraído, decodificado e executado.
Embora existam dados “protegidos”, os locais onde estão armazenados Alguns criptografadores não gravam o arquivo no disco rígido;
ainda podem ser hackeados. Alguns cibercriminosos compartilharam em vez disso, iniciam o arquivo da memória. Este método de
sua experiência em hacking; gerando tráfego; e escrever código para criptografia, entretanto, não é eficaz.
Trojans, explorações e outros malwares por meio de artigos online.
Os criptografadores estatísticos usam stubs diferentes para tornar
cada arquivo criptografado único. Essa é a razão pela qual os
Este artigo discute conceitos fundamentais que os hackers russos autores geralmente criam um esboço separado para cada cliente. Um
seguem e as informações que compartilham com seus pares. Também stub que foi detectado pelo software de segurança deve ser modificado
examina os preços cobrados por vários tipos de serviços, juntamente ou, em termos de hacking, “limpo”.
com a prevalência dos serviços prestados nos anúncios. As principais
características de cada tipo de atividade e exemplos de ofertas de Criptadores polimórficos são considerados mais avançados.
serviços associados também são discutidos. Eles usam algoritmos de última geração que utilizam variáveis
aleatórias, dados, chaves, decodificadores e assim por diante. Dessa
forma, um arquivo de origem de entrada nunca produz um arquivo
Cada seção deste artigo concentra-se em um tipo específico de de saída idêntico à saída de outro arquivo de origem. Isso pode ser
atividade, bem ou serviço criminoso no mercado clandestino alcançado usando vários algoritmos, incluindo:
russo.
• Embaralhar blocos de código enquanto preserva a capacidade de
execução de um arquivo malicioso: os blocos de código são
criptografados usando uma técnica específica. Vários
decodificadores são então criados para o corpo do malware,
que é decodificado aleatoriamente. Isto também se aplica a variáveis e outros d
• Criando macros: Uma macro é criada durante

pré-processando. Quando invocado, ele executa repetidamente
uma instrução.
PÁGINA 1 | SUBTERRÂNEO RUSSO 101

• Inserindo código lixo: Os blocos são divididos em seções, entre as quais Preços de criptografia
são inseridas instruções lixo.
Essas instruções não afetam o código, mas forçam o emulador a “suar”.
As instruções inúteis não são apenas usadas em blocos de código, mas Oferta Preço
também para executar ações úteis que complicam o trabalho de
Criptografia estatística básica US$ 10–30
um analisador antimalware de todas as maneiras possíveis.
Stub crypter com vários US$ 30–80
complementos
• Combinação de todos os métodos mencionados acima: Todos os Cripta polimórfica US$ 100+
métodos mencionados acima, juntamente com a geração Marceneiro US$ 10–30

dinâmica de algoritmos após a criptografia de um bloco específico
de código com base em condições aleatórias, também podem ser Tabela 1: Preços de serviços de criptografia e criptografia de arquivos
usados.
Algumas ofertas exóticas também estão disponíveis, como um serviço que
Joiners [ÿÿÿÿÿÿÿ] referem-se a uma variação de criptadores. Um joiner, une um arquivo .PDF e um arquivo .EXE em um arquivo .PDF.
também conhecido como “binder”, é um programa usado para juntar vários
arquivos (por exemplo, um arquivo .JPG e um arquivo .EXE malicioso) e Aqui está um exemplo de postagem de um cibercriminoso que
colocá-los em um único contêiner. Quando iniciado, o contêiner oferece serviços de criptografia (traduzido do russo):
extrai os arquivos do contêiner e os executa. Como resultado, o arquivo
composto terá o nome de extensão .exe, .bat, .cmd, .scr, .com ou .pif. O “Você me dá um .EXE e qualquer arquivo .PDF comum (se não tiver
malware é mais comumente compatível com programas altamente populares um, posso usar um .PDF em branco ou o meu próprio) que deve ser
para garantir que eles afetarão o maior número possível de usuários. mostrado ao usuário. Vou costurá-los e fornecer um arquivo .PDF tóxico. Ao
ser aberto, o .EXE e o .PDF são extraídos e o .PDF tóxico é substituído
pelo .PDF comum e exibido ao usuário. Este serviço custa US$ 420.”
Em média, os serviços de criptografia custam entre US$ 10 e US$ 15.

No entanto, ofertas que custam US$ 6 e US$ 50 também podem ser
encontradas, dependendo do tipo de serviço de criptografia necessário
e de quão complicado é o serviço. Os criptografadores polimórficos, que
geralmente criptografam arquivos .EXE e .DLL, custam mais.
Os serviços de criptografia que usam malware infame, como ZeuS,

Pinch e outros bots e cavalos de Tróia, também são vendidos online
com mais frequência. Os serviços de criptografia ZeuS, por exemplo,
custam entre US$30 e US$50. Estes, no entanto, também podem ser
adquiridos a preços mais baixos. Serviços de criptografia e ofuscação
também estão disponíveis para explorações por US$ 10–30. Quanto
mais complexo for o serviço, mais caro ele será. Um pacote único de
serviços de criptografia de exploração custa aproximadamente US$ 50 a
US$ 150 por assinatura, que inclui cinco criptografadores no período de um
mês. Os serviços de costura de arquivos custam entre US$ 10 e
US$ 15. Em geral, clientes regulares e atacadistas podem obter ofertas
especiais de criptografia de arquivos e outros serviços.

Servidores Dedicados Servidores proxy
Um servidor dedicado [ÿÿÿÿÿÿ] é aquele que um usuário não compartilha Um servidor proxy [ÿÿÿÿÿÿ] é um computador intermediário que atua como
com outros. Ele pode ser usado para diversas atividades maliciosas, “proxy” ou mediador entre um computador e a Internet. Os servidores
desde força bruta até cardação, que um hacker preferiria não proxy são usados para diversos fins, como acelerar a transmissão de
realizar em sua própria máquina. dados e filtrar o tráfego, mas seu objetivo principal, que os torna populares
Os hackers normalmente se conectam a um servidor dedicado via VPN, entre os hackers, é garantir o anonimato. O anonimato, neste caso,
o que lhes proporciona anonimato. Os servidores dedicados estão vem do fato de o servidor de destino ver o endereço IP do servidor proxy
entre os produtos mais populares no mercado clandestino. São e não o do computador do hacker. Mesmo os hackers, no entanto,
considerados consumíveis únicos e com procura mais ou menos notaram frequentemente que, apesar da garantia dos operadores de
constante. Os servidores dedicados são normalmente vendidos às servidores proxy, todos esses servidores, mesmo os pagos, mantêm
dezenas ou centenas, com preços dependendo do seu poder de registos e não podem fornecer anonimato completo.
processamento e, em maior medida, da velocidade de acesso à Internet.
Os servidores são essenciais em uma operação cibercriminosa, Os principais tipos de servidores proxy são:
especialmente para ataques de força bruta em amplas faixas de
endereços IP. Os hackers também oferecem serviços de força bruta • Servidor proxy HTTP: A forma mais comum de servidor proxy. Na
porque os servidores dedicados têm os chamados “tempos de vida”, verdade, um servidor proxy geralmente se refere a esse tipo de
dependendo de vários fatores, sendo os mais importantes as medidas que servidor. No passado, esse tipo de servidor permitia apenas aos
um administrador implementa para garantir a segurança do servidor. usuários visualizar páginas da web e imagens, bem como baixar
arquivos. As versões mais recentes de aplicativos (por exemplo,
ICQ, etc.) podem ser executadas através de um servidor proxy
Os serviços de hospedagem à prova de balas [ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ], que HTTP. Qualquer versão do navegador também funciona através deste tipo de ser
permitem aos cibercriminosos hospedar qualquer tipo de material
em um site ou página sem se preocupar com a possibilidade de ele ser • Servidor proxy SOCKS: Este tipo de servidor proxy funciona com
removido devido a denúncias de abuso, também estão amplamente praticamente todo tipo de informação disponível na Internet (ou seja,
disponíveis no mercado clandestino. TCP/IP). Para usar servidores proxy SOCKS, entretanto, os programas
devem ser explicitamente capazes de trabalhar com eles.
Preços de servidores dedicados Programas adicionais são necessários para que um navegador
use um servidor proxy SOCKS. Os navegadores não podem
funcionar sozinhos em servidores proxy SOCKS, mas qualquer versão
Oferta Preço do ICQ e vários outros programas populares funcionam muito bem
neles. Ao trabalhar com servidores proxy SOCKS, suas versões
Servidor dedicado US$ 0,50–1
(ou seja, SOCKS4 ou SOCKS5) devem ser especificadas.
Servidor poderoso US$ 10–20
Serviço de hospedagem à prova de US$ 15–250 por mês

balas (ou seja, VPS/servidor virtual • Servidor CGIProxy, também conhecido como “anonimizador”:
dedicado [VDS]) Este tipo de servidor proxy só pode ser usado para navegadores.
Serviço de hospedagem à prova de US$ 2.000 por mês Usá-lo para outros aplicativos é difícil e desnecessário devido aos
balas com proteção distribuída servidores proxy HTTP. Como se espera que esse tipo de
contra negação de serviço (DDoS), um servidor proxy funcione inerentemente para navegadores, usá-los
Conexão de Internet de 1 Gb e outros é excepcionalmente fácil. É fácil ativar um anonimizador para funcionar.
recursos extras
Também é possível criar uma cadeia CGIProxy sem problemas.
Tabela 2: Preços de servidores dedicados

Bots de meias
• Servidor proxy FTP: Este tipo de servidor proxy é bastante raro Um bot SOCKS é incorporado em um sistema, reside no processo
e pouco utilizado, exceto em redes corporativas. Os servidores explorer.exe, contorna firewalls por meio de um driver, é registrado em
proxy FTP são comumente usados por organizações que instalam estatísticas e abre o SOCKS em uma porta escolhida. Ele armazena
firewalls – sistemas que protegem os computadores contra invasões informações sobre si mesmo em um script, que informa quando acessar
externas – o que impede o acesso direto à Internet. Eles são um servidor. Se uma conexão SOCKS for bem-sucedida, o bot se grava
suportados por muitos gerenciadores de arquivos populares (por no banco de dados de bots SOCKS válidos. Seus processos permanecem
exemplo, File and ARchive [FAR] e Windows Commander), invisíveis enquanto são executados no processo explorer.exe. Além de
gerenciadores de download (por exemplo, GetRight e ReGet) e contornar firewalls por meio de um driver, ele também contorna medidas de
navegadores. segurança proativas apertando e cutucando botões. É fácil de
administrar; exibe todas as informações possíveis sobre uma máquina
capturada, incluindo o conteúdo do armazenamento protegido; pode baixar
Assim como os servidores dedicados, os servidores proxy também e executar arquivos .EXE de qualquer URL; se autodestrói quando
devem ser adquiridos. Existem vários métodos para fazer isso, desde uma encontrado; tem a função kamikaze; pode emitir comandos para
simples pesquisa no Google até o uso de diversos scanners, incluindo aqueles bots individuais ou bots em diferentes países; possui dois programas
que os próprios hackers escrevem. Alguns Trojans especiais também administrativos de backup, além de um programa principal para
transformam computadores conectados à Internet em servidores gerenciamento de bot; suporta MEIAS5; quando compactado, tem
proxy. Assim como os servidores dedicados, os servidores proxy também apenas 56kb de tamanho, o que é essencialmente sem importância
são frequentemente vendidos em massa às dezenas e centenas e têm se um carregador for usado; é escrito puramente em C++; e é vendido por US$
demanda constante. 100.
Aqui estão exemplos de postagens de criminosos cibernéticos que

oferecem serviços de proxy (traduzidos do russo):
“Serviço SOCKS (cerca de 1.500 servidores online); preço: US$ 2/ dia,

US$ 7/ semana, US$ 13/2 semanas, US$ 25/3 semanas”
“Lista de servidores proxy: em média, US$ 1,50–3 para uma lista de 300,
US$ 2–4 para 500, US$ 3,50–5 para 1.000”
“Lista de servidores SOCKS4/5: US$3 por 100 servidores”
“Serviço proxy: HTTP, HTTPS, SOCKS4, SOCKS5; preços: 5 dias = US$4;

10 dias = US$8; 30 dias = US$20; 90 dias =
US$ 55”

Serviços VPN
A tecnologia VPN é usada para criar um túnel seguro e criptografado em “Preços VIP72.com: Serviço proxy/ SOCKS - ilimitado/ mês US$ 33 serviço
um computador ao se conectar à Internet, por meio do qual os dados proxy/ SOCKS — 250 SOCKS/ mês US$ 25 serviço proxy/ SOCKS —
são transmitidos. Isso permite que um hacker use todos os tipos de 90 SOCKS/ 10 dias US$ 10, VPN: Dia — US$ 3, semana — EUA
programas convencionais (por exemplo, ICQ, Skype, e-mail ou US$ 9, mês — US$ 30, 6 meses — US$ 125, ano — US$ 235”
administração de sites), garantindo ao mesmo tempo que os dados
permaneçam criptografados mesmo quando transmitidos. Além disso,
os dados parecem ser transferidos não do endereço IP do hacker, “EUA — US$ 15/ mês; França — US$ 15/ mês; Brasil—US$ 20/
mas do endereço IP do provedor de serviços VPN. mês; México – US$ 20/ mês”
* Observe que os preços dos serviços VPN para o México e o Brasil são mais caros
porque são menos desenvolvidos tecnicamente em comparação com outros países.
Ou seja, quem não utiliza VPN faz tudo online com o auxílio do
ISP de sua escolha, inclusive abrindo sites e realizando outros serviços
mediante solicitação. O uso de uma VPN – um intermediário –
permite que hackers criptografem todas as solicitações emitidas e dados
recebidos da Internet. As VPNs protegem os dados e preservam o seu
anonimato, enviando pedidos de recursos online e transmitindo dados
utilizando os seus endereços IP e não os dos utilizadores, tornando-os
valiosos para os hackers.
Uma VPN protege os dados criptografando todo o tráfego de

entrada e saída de e para os computadores conectados a ela. Enquanto
isso, ele preserva o anonimato, permitindo que hackers acessem sites
usando o endereço IP exclusivo anexado a ele. Também permite o uso
de endereços IP duplos, impossibilitando que um provedor registre o
tráfego que vem e vai para ele.
Preços de serviços VPN
Oferecendo Preço
serviço de 1 dia US$ 1–5
Serviço de 7 dias US$ 8–9
Serviço de 1 mês US$ 11–40
Serviço de 3 meses US$ 50–55
Serviço de 6 meses US$ 105–125
1 ano de serviço US$ 190–240
Tabela 3: Preços dos serviços VPN
Aqui estão exemplos de postagens de criminosos cibernéticos que oferecem

serviços VPN (traduzidos do russo):
“VPN PPTP, VPN aberta, serviço VPN duplo, preço: US$11/

mês"

Serviços pagos por instalação
No modelo de negócios do serviço pay-per-install (PPI), os anunciantes Em outras palavras, a classificação de um país é determinada pela
pagam uma comissão aos editores sempre que um usuário instala aplicativos probabilidade de um arquivo malicioso ser baixado e aberto por algum
geralmente gratuitos que acompanham adware. Em um ataque empresário ou empresa nele, o que permitirá que os cibercriminosos obtenham
PPI, uma instalação refere-se ao download e inicialização de um arquivo acesso a todos os tipos de informações confidenciais (por exemplo,
no computador da vítima. números de cartão de crédito) e talvez até acesso root a sites ou redes
Os downloads podem vir na forma de um pacote de exploração ou de corporativas.
uma botnet. Nesse tipo de ataque, um usuário que visita um site de
hospedagem de exploração usando um navegador vulnerável baixa e executa Dois tipos básicos de atividade ocorrem no mercado de serviços de
um script malicioso e infecta seu computador. download: ou um cliente oferece um arquivo malicioso para provedores de
Este é um dos meios mais populares de distribuição de malware (ou serviços de download ou um provedor de serviços de download oferece serviços
seja, na maioria das vezes Trojans). aos clientes. Também existem programas de parceiros para serviços
relacionados a download e tráfego.
Preços de serviço pago por instalação

Programas parceiros de tráfego [ÿÿÿÿÿÿÿÿÿ] convertem tráfego em
downloads. Enquanto isso, os programas de download de parceiros são
Oferecer serviços de download é uma prática generalizada. Neste modelo vendidos por 1.000 instalações. Os programas de download de parceiros
de negócios, um cliente fornece o arquivo malicioso para um provedor de geralmente exigem dois componentes: tráfego e um pacote de exploração.
serviços distribuir. Os serviços de download geralmente são oferecidos com O tráfego, por si só, não tem valor. Ele deve primeiro ser convertido em
base no país de destino. downloads para ter alguma utilidade. Por exemplo, 1.000 visitantes únicos num
período de 24 horas podem gerar até 50 downloads.
Oferta Preço por 1.000 downloads
Para obter downloads, os hackers usam exploits [ÿÿÿÿÿÿÿ], que são
Austrália (UA) US$ 300–550
scripts que permitem a execução de uma ação desejada através de uma
Grã-Bretanha (Reino Unido) US$ 220–300 vulnerabilidade em algum programa (por exemplo, um navegador), ou
Itália (IT) US$ 200–350 pacotes de exploits, que são coleções de exploits que foram costurados
em um script único para melhor alcance. O alcance de um pacote de
Nova Zelândia (NZ) US$ 200–250
exploração é igual à quantidade de tráfego que ele transforma em
Espanha (ES), Alemanha (DE) ou US$ 170–250
downloads. Contudo, é impossível determinar com precisão o alcance
França (FR)
com base no tráfego de apenas 1.000 hosts; normalmente, pelo menos
Estados Unidos (EUA) US$ 100–150 20.000 hosts precisam ser instalados para permitir a medição.
Mistura global US$ 12–15
Mistura europeia US$ 80

Manter um pacote de exploração também requer um host. Os hackers
Rússia (RU) US$ 100
geralmente usam servidores dedicados [ÿÿÿÿÿÿ] ou serviços de hospedagem
à prova de balas [ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ] para direcionar o tráfego [ÿÿÿÿÿÿ] para
Tabela 4: Preços dos serviços PPI
uma página da web carregada de exploração, a fim de obter downloads. Os
“ingredientes” para obter downloads (ou seja, tráfego, explorações e hosts à
Serviços de download de tráfego misto (por exemplo, mix europeu, asiático
prova de balas) são vendidos separadamente.
ou global) também são vendidos com frequência.
O valor do tráfego baseia-se principalmente na importância do seu

proprietário. Quanto maior for a organização a que pertence, mais caro será.
A maior parte do tráfego comercial vendido vem dos Estados Unidos e da
Austrália. No entanto, como a maior parte do tráfego dos EUA está
relacionada com pornografia, o tráfego australiano é considerado de
qualidade superior e, portanto, mais frequentemente utilizado para
atividades de carding.

Serviços de programação
Aqui está um exemplo de postagem de um cibercriminoso oferecendo Os serviços de programação referem-se àqueles necessários para
software de download, que ocasionalmente também é encontrado on- escrever programas de computador. Programadores que desejam ganhar
line (traduzido do russo): a vida oferecem seus serviços para escrever programas customizados
usando linguagens que vão desde assembly até Python. As ofertas também
“Baixar bot! -=UA-BOT=- Confira meu próximo desenvolvimento podem ser muito diversas, incluindo spammers, cavalos de Tróia e worms.
– um bot com controles administrativos simples e convenientes
em PHP. Ele baixa e inicia diferentes programas. Como bônus, inclui a
capacidade de executar solicitações HTTP GET; muito semelhante a um
Vendas de software
DDoS (faz sentido apenas com um grande número de bots ou, alternativamente,
para acionar contadores e outras pegadinhas, ou para criar um wrapper para
scripts confidenciais, etc.). Contate ICQ 9490610 para todos os detalhes. A venda de programas prontos para uso constitui uma grande parte do
Como parte dos meus testes, estou distribuindo um bot configurado usando mercado clandestino. Os produtos mais populares incluem diferentes
controles administrativos de teste. Um bot custa US$ 30, a costura custa US$ tipos de malware, Winlockers, cavalos de Tróia, spammers, aplicativos de
5.” força bruta, criptografadores e bots DDoS. Licenças para ZeuS, Pinch, SpyEye
e outros kits de ferramentas populares também são vendidas. Observe,
entretanto, que alguns fornecedores de programas não são necessariamente
os verdadeiros programadores. Os produtos mais comuns disponíveis são
aplicações web (isto é, PHP + MySQL) e programas escritos em C++ e C#.
Preços de serviços de programação
Os preços dos serviços podem depender de quem é o programador.

Os preços geralmente são resultados de negociações entre um comprador e
um programador, dependendo da complexidade do recurso, do
cronograma e de outros fatores.
Aqui estão exemplos de postagens de criminosos cibernéticos

que oferecem serviços de programação (traduzidos do russo):
“Serviço de programação; Perl, PHP, C, Java, etc. Preços: A partir de US$100;

injeta escrita: A partir de US$200; hackeamento de servidor web: a partir de
US$ 250”
“Escrever e vender Trojans e outros malwares; disponível:

Trojan para roubo de contas bancárias — US$ 1.300, Trojan para
substituição de dados de páginas da Web no navegador de um cliente —
US$ 850, Trojan WebMoney Keeper — US$ 450, bot DDoS — US$
350, verificador de cartão de crédito — US$ 70, backdoor —
US$ 400, spammer do LiveJournal – US$ 70, programas falsos diferentes –
US$ 15–25”

Ataque distribuído de negação de serviço

Serviços
Os ataques de negação de serviço (DoS) [ÿÿÿÿ] e DDoS são tipos de • Ataque de inundação TCP SYN: Envolve o envio de um enorme
ataques de hackers a computadores. Esses ataques criam condições número de solicitações para inicializar conexões TCP com um site de
nas quais usuários legítimos de computador têm acesso negado aos recursos destino, que é conseqüentemente forçado a gastar todos os seus
do sistema. Os hackers que os instigam não estão tentando invadir ilegalmente recursos para controlar as conexões parcialmente abertas feitas. Neste
computadores protegidos para roubar ou destruir dados. Eles só querem ataque, o hacker envia pacotes de sincronização para um alvo. Depois
paralisar sites ou computadores. de receber o primeiro pacote, o computador da vítima envia uma
resposta (ou seja, SYN ACK) e espera por um pacote ACK que nunca
chegará, causando um DDoS.
Esquematicamente, um ataque DDoS envolve um enorme número de
solicitações falsas de um grande número de computadores em todo o
mundo que inundam um servidor alvo. Como resultado, o servidor de • Ataque Smurf: Envolve o envio de solicitações de ping ICMP para um
destino gasta todos os seus recursos atendendo solicitações e fica praticamente endereço de transmissão de destino usando um endereço de origem falso
indisponível para usuários comuns. Os usuários dos computadores que por meio de falsificação de endereço IP.
enviam as solicitações falsas podem nem suspeitar que suas máquinas
foram hackeadas. • Inundação ICMP: Semelhante a um ataque Smurf sem a parte de
transmissão.
Os softwares DDoS foram inicialmente criados para fins não maliciosos, Os ataques DDoS geralmente exigem o uso de bots e botnets especialmente
como experimentos para estudar a capacidade de transferência das criados. Para instigar um ataque DDoS, um hacker deve primeiro obter
redes e sua tolerância a cargas externas. acesso ao computador alvo. Ele então instala um daemon usando seu
Nesse caso, usar um pacote ICMP estruturado incorretamente é mais kit de bot DDoS. Ele então faz a mesma coisa com várias outras máquinas,
eficaz porque requer muito processamento. Um pacote é despachado ao transformando todas elas em zumbis. O hacker então inicia o programa
remetente após determinar o que há de errado com ele. Consequentemente, mestre, que também vem do kit do bot DDoS, por conta própria ou em um
o objetivo principal – sufocar o tráfego da rede – é alcançado. sistema remoto e ordena que ele lance um ataque em um endereço IP
escolhido. O programa mestre então comanda todos os daemons para
atacar a vítima escolhida para fins como derrubar um site específico.
A seguir estão os diferentes tipos de ataque DDoS:
• Ataque de inundação UDP: Envolve o envio de um grande número de

pacotes UDP para um computador alvo. Isso era usado com mais Serviço distribuído de negação de serviço
frequência no passado, mas agora é considerado o tipo menos
perigoso de ataque DDoS. Esse tipo de ataque é fácil de detectar
Preços
porque protocolos não criptografados como TCP e UDP são
usados durante a troca entre um controlador mestre e agentes.
Oferecendo Preço
serviço DDoS de 1 dia US$ 30–70

• Ataque de inundação de TCP: Envolve o envio de um grande número de Serviço DDoS de 1 hora US$ 10
pacotes TCP para um computador alvo, que utiliza muitos recursos de
Serviço DDoS de 1 semana US$ 150
rede.
Serviço DDoS de 1 mês US$ 1.200
Tabela 5: Preços de serviços DDoS

Aqui estão exemplos de postagens de criminosos cibernéticos que • Suporte a proxy SOCKS5: A porta padrão é 1080, mas pode ser
oferecem serviços DDoS (traduzidos do russo): alterada quando uma compilação é criada. Observe que este é um
proxy comum – não funciona em NAT. O bot é compatível com toda
“Bot Optima DDoS: O nome do arquivo no sistema não é composto a família Windows: Microsoft Windows 95 – Windows7. Não há razão
por números e não é apenas um conjunto de letras aleatórias. Pelo contrário, para não instalar.
é uma palavra ou abreviatura perfeitamente adequada, embora gerada
aleatoriamente.
• Funciona corretamente em sistemas de 64 bits
• Ignora o Firewall do Windows: O painel administrativo mostra
não apenas a versão do bot e do sistema operacional, mas • Funciona corretamente tanto com uma conta de administrador
também o tipo de conta (por exemplo, administrador ou usuário quanto com uma conta de usuário padrão
padrão).
• Protege contra downloads injustos (se um bot for
• A/ U correspondentemente baixado em um PC que já está infectado, a palavra “FAIL” é
exibida no painel administrativo). Em casos individuais, pode
• Capacidade de sobrescrever: um arquivo pode ser instalado sobre ser possível organizar o encerramento de um processo ou
outras versões do bot; as cópias mais antigas são removidas. A processos e outros ajustes leves.
atualização do Optima requer uma substituição.
O comando exe=url é usado para realizar uma atualização.
Uma equipe inteira trabalhou no bot: testadores, codificadores, • Desempenho fabuloso
fornecedores e promotores. Isso significa que a cada dia o
bot está melhorando. • Sistema avançado de emissão de agentes de usuários e
Bugs estão sendo encontrados e corrigidos rapidamente. O bot referências: gerado aleatoriamente a cada chamada.
apresenta quatro tipos de ataque DDoS: HTTP, ICMP (ping),
SYN e UDP. Nosso bot praticamente não carrega nenhum • Suporte técnico contínuo
sistema, o que permitirá que ele permaneça indetectável por
um longo tempo. Nosso bot é instalado em um sistema quase • Regula a força do ataque
que instantaneamente, o que evita qualquer suspeita por parte da
vítima. O bot é leve e se comporta bem no sistema. O painel de • Um comando pode ser seguido por um parâmetro
controle conveniente e intuitivo é altamente otimizado, o que reduz que indica um atraso para cada thread (ex: | 5): Os valores
a carga do servidor. variam de 0 a 9; “0” significa “sem atraso”. O padrão é “1”.
Consulte as perguntas frequentes para obter mais informações.
Essa mudança aumenta a capacidade de sobrevivência dos bots.
• Em dois idiomas (RU, EN): O bot roda em 100 (!) threads; um tempo
limite pode ser definido. Além disso, os threads estão quase
perfeitamente sincronizados entre si, possibilitando gerar a • Suportado pelos comandos dd1 e dd2
maior quantidade de tráfego HTTP.
• Suporte para determinados recursos para ignorar determinados
medidas de proteção anti-DDoS: O bot emula um navegador.
• Capaz de atacar simultaneamente vários URLs em um único
servidor
• Modularidade: você pode comprar complementos de bot (ou seja,
• Atacar servidores individuais (por exemplo, um fórum, um site de notícias de uso geral e personalizados).
bloco ou armazenamento de arquivo): durante esse tipo de
ataque, cada instância de bot seleciona alvos de forma • Mínimo: o bot DDoS sem atualização gratuita custa US$ 450.*
independente, o que resulta em um aumento múltiplo na carga do
servidor porque as respostas não podem ser armazenadas em cache.
• Padrão: o bot DDoS mais um mês de atualização gratuita custa
• Capaz de transferir e iniciar seus arquivos .EXE US$ 499.”*
“Fuma bot DDoS; Inundação HTTP GET/ POST, inundação UDP, inundação
SYN; preço: US$300; reconstruir: US$ 30”
* “Publicidade” foi substituída por “atualização”.

Serviços de spam
“Bot DDoS 'ibot'; preço: US$ 350 (para os primeiros cinco clientes)” Spamming [ÿÿÿÿ] refere-se à distribuição em massa de mensagens
online. O spam pode ser temático ou não.
Spam temático destina-se a um público-alvo específico (ou seja,
“DARKNESS (OPTIMA) bot DDoS HTTP, ICMP (ping), lixo, frequentadores de sites de namoro, busca de emprego, negócios e
Preço de threads SYN 100 – pacote: US$ 350, atualizações: US$ 85, pornográficos). Um banco de dados de destinatários de mensagens em massa
reconstrução: US$ 35” desempenha um papel fundamental na distribuição de spam temático.
“Bot DDos G-Bot; preço: US$ 150; construtor: US$ 1.500” O spam sem tema, por outro lado, é enviado para praticamente qualquer
pessoa em uma ordem específica. O que é mais importante para esse tipo
de spam é que ele chegue ao maior número possível de usuários.
O spam também pode ser categorizado em termos de meio de distribuição

– e-mail, ICQ, rede social ou spam de fórum. Cada meio requer seu próprio
conjunto de destinatários e distribuição
recursos.
Preços de serviços de spam
O mercado de serviços de spam é bastante diversificado. Bancos de dados,

fóruns e contas de redes sociais são os mais procurados. Os bancos de
dados geralmente são vendidos a granel, dependendo do público-alvo (por
exemplo, data ou candidatos a emprego).
Credenciais de contas de redes sociais, necessárias para distribuição de spam,

também estão disponíveis no mercado.
Ferramentas e/ou programas de distribuição de spam via ICQ e e-mail também
podem ser adquiridos. Ferramentas para spam em fóruns e redes sociais,
entretanto, são menos comuns. Seus preços dependem de recursos,
velocidade de distribuição e assim por diante.
Os serviços privados de spam, que são usados para distribuir mensagens

usando um banco de dados de clientes ou usuários proprietários, são mais
caros.
Vários serviços de inundação, especialmente serviços de inundação

de chamadas e SMS, também estão disponíveis no mercado, embora não
sejam tão comumente vistos. Na verdade, o principal objetivo de seus usuários
é incomodar as vítimas.

Redes de bots
Uma botnet é uma rede de computadores que são de alguma forma

Oferta Preço
controlados a partir de um único centro de controle – um servidor de comando
Serviço barato de spam por e-mail US$ 10 por 1.000.000 de e-mails e controle (C&C). Uma botnet padrão compreende um servidor C&C e bots ou
zumbis. As botnets podem, no entanto, existir sem um servidor C&C. Nesse
Serviço caro de spam por e-mail usando US$ 50–500 por caso, uma botnet usa uma arquitetura peer-to-peer (P2P). Os comandos são
um banco de dados de clientes 50.000–1.000.000 e-mails transmitidos de um bot para outro, tornando a remoção de botnets
substancialmente mais complicada de executar. Certos protocolos de chat, como
Serviço de spam por SMS US$ 3–150 por 100–10.000 mensagens de

o IRC, também podem ser usados para controlar os bots em tal botnet.
Um centro de comando de botnet também pode assumir a forma de um servidor
texto
web – o método mais predominante atualmente, um meio de mensagens
Serviço de spam ICQ US$ 3–20 por
instantâneas (IM) (por exemplo, ICQ ou Jabber), um canal de IRC ou outros
50.000–1.000.000 mensagens
métodos mais exóticos.
Serviço de inundação ICQ de 1 hora US$ 2
Serviço de inundação ICQ 24 horas US$ 30
Serviço de inundação de e-mail US$ 3 por 1.000 e-mails Para adicionar uma máquina a uma botnet, um programa especial deve ser
instalado nela. Este programa permite que hackers executem remotamente
Serviço de inundação de chamadas de US$ 2–5
1 hora (ou seja, normalmente desativa os
certas ações em uma máquina comprometida. Um computador pode ser
serviços de call center) infectado de várias maneiras (por exemplo, downloads drive-by e exploração
de vulnerabilidades).
Serviço de inundação de chamadas por 1 dia US$ 20–50
Serviço de inundação de chamadas por 1 semana US$ 100

Botnets são recursos bastante versáteis, pois podem ser usados para enviar
Serviço de inundação de SMS US$ 15 por 1.000 mensagens de texto spam, lançar ataques DDoS e instigar downloads em massa. Os proprietários
Conta Vkontante.ru US$ 5–10 para 500 contas de botnets, também conhecidos como “mestres de botnets”, também podem
base de dados vasculhar os logs enviados pelos bots. Esses registros podem conter todos os
tipos de informações valiosas para os fraudadores, como senhas de contas de
Banco de dados de endereços Mail.ru US$ 1,30–19,47 por 100–5.000 endereços
redes sociais e números de cartão de crédito das vítimas.
Banco de dados de endereços Yandex.ru US$ 7–500 por 1.000–100.000 endereços
Ferramenta de spam de SMS do Skype US$ 40

Zeus
Ferramenta de spam e inundação de e-mail US$ 30
Um dos kits de ferramentas de botnet mais famosos é o ZeuS, que criou
botnets que roubavam remotamente informações pessoais dos computadores
Tabela 6: Spamming e preços de serviços relacionados das vítimas. Os botnets ZeuS interceptam WinAPIs no UserMode (Ring 3), o
que significa que um bot não precisa de drivers ou chamadas no Ring 0, o
nível com maior número de privilégios. Este recurso permite que o bot seja
executado independentemente dos direitos de acesso de um usuário a
um computador infectado (ou seja, administrador, usuário ou convidado).
Também garante estabilidade e adaptabilidade a qualquer versão do
sistema operacional Windows.
Um bot pode fazer o seguinte:
• Detectar tráfego TCP
• Interceptar logins de FTP através de qualquer porta
• Interceptar logins POP3 através de qualquer porta

• Interceptar qualquer tipo de dados em trânsito Aqui estão exemplos de postagens de criminosos cibernéticos que
oferecem serviços ZeuS (traduzidos do russo):
Tudo o que um usuário permite que seu sistema “lembre” para ele (por
exemplo, nomes de usuário, senhas e outros dados de formulário) torna- “Venderei o código-fonte do ZeuS 2.0.8.9. Venda privada de código-fonte.
se acessível ao ZeuS. Mesmo que a vítima não salve essas informações em um Preço: US$ 400–500; a negociação (troca) é possível.”
computador infectado, um bot ainda pode rastrear quais teclas ele pressionou
e em que ordem foram pressionadas ao fazer login em um determinado site
por meio de keylogging. Todas essas informações são então enviadas ao “É aceita a venda do ZeuS 2.1.0.1 bin + configurado em sua
mestre do botnet. hospedagem por um depósito de US$ 200.”
“Venderei um construtor Zeus 2.0.8.9 + controles de administração. Também

Alguns sites usam teclados virtuais para ajudar os usuários a evitar serem faço construções. Preço: US$ 300. Preço de construção: US$ 100.”
espionados. ZeuS, no entanto, também pode vir com um mecanismo que
permite aos hackers interceptar dados através de capturas de tela. “Logs LOGS-ZeuS (2,4 Gb) DE FR IT GB, preço: US$ 250.”
Como tal, pode-se dizer que o ZeuS permite o controle de todos os
tipos de dados que passam pelos navegadores dos bots. Tem, por “Instalação do ZeuS no seu host: US$35. Instalação do ZeuS no meu host:
exemplo, a capacidade de alterar o conteúdo de uma página web cujo US$40.”
endereço está no seu arquivo de configuração sem o conhecimento da vítima.
Geralmente adiciona campos para dados confidenciais. Alguns sites criam “Configuração do ZeuS: US$ 100, suporte para botnet: US$
assinaturas digitais ou certificados especiais em computadores 200/ mês, consultoria: US$ 30.”
mediante registro. Estes são validados em cada visita subsequente. Se o
navegador de um usuário não apresentar o certificado apropriado para um
site, esse site não concederá acesso total. Mesmo esses certificados, no
entanto, não estão protegidos contra o ZeuS, pois ele também tem a
capacidade de encontrar esses certificados em um computador infectado,
roubá-los e enviá-los a um hacker.
Hackers que usam computadores comprometidos para fins maliciosos,

como distribuição de spam, também utilizam o ZeuS para instalar todo o
software necessário em um bot. Como tal, mesmo computadores que não
possuem informações confidenciais salvas neles ainda podem ser úteis para
uma variedade de atividades maliciosas, daí a infâmia do ZeuS.
Preços de botnets
Oferecendo Preço
Bots (ou seja, consistentemente US$ 200 por 2.000 bots

online 40% do tempo)
Botnet DDoS US$ 700
Atualização de botnet DDoS US$ 100 por atualização
Tabela 7: Preços de botnets
* Observe, entretanto, que botnets raramente são vendidos no submundo

mercado. Os hackers normalmente operam seus próprios botnets porque
vendê-los é menos lucrativo.

Verificações de software de segurança Troianos
Alguns hackers oferecem verificações de software de segurança Um Trojan [ÿÿÿÿÿÿ], abreviação de “cavalo de Tróia”, é um
[AV ÿÿÿÿÿÿÿÿ] ou serviços para verificar um arquivo malicioso em vários malware disfarçado de programa ou aplicativo de computador legítimo.
softwares de segurança. Quanto mais software de segurança um Trojan spyware, malware projetado especificamente para roubar
arquivo for verificado, mais caro será o serviço. dados do usuário, também estão disponíveis. Os tipos de dados que o
Nesses casos, os clientes obtêm relatórios a um custo muito baixo. spyware Trojan rouba incluem senhas do ICQ, listas de contatos,
documentos confidenciais, números de contas bancárias e assim por
Mesmo que existam vários serviços de verificação de arquivos on-line, os diante. As credenciais de contas de fóruns e redes sociais não são baratas.
hackers tendem a ser cautelosos com eles porque alguns podem
ser configurados por empresas de segurança para obter informações
sobre os arquivos maliciosos que foram testados. Os números ICQ são usados para distribuir spam ou para fins de
inundação. As credenciais da conta FTP são vendidas e usadas para
Preços de verificação de software de segurança fins de otimização de mecanismo de pesquisa (SEO) blackhat.
Os cavalos de Tróia também podem incluir keyloggers e outros

Oferecendo Preço spywares que rastreiam várias ações do usuário. Os Trojans mais
conhecidos incluem os seguintes:
verificação única de software US$ 0,15–0,20
de segurança
• Limbo
Assinatura de 1 semana US$ 10
Assinatura de 1 mês US$ 25–30 • Adrenalina
Tabela 8: Preços de verificação de software de segurança • Agente DQ
• Beliscar
• Zeus
• SpyEye
Preços de cavalos de Tróia

oferecem Trojans (traduzidos do russo):
“Spider Keylogger Pro v. FUD 100%. Preço: US$ 50.”
“Trojan (rouba senhas do Opera, Mozilla Firefox, Chrome, Safari,

agente Mail.ru, qip). Preço: US$ 8.”
“Vende-se Backdoor (software para acesso remoto a

computadores); preço: US$25; preço do código-fonte: US$ 50.”
“Keylogger Detective 2.3.2 (Trojan com instalação oculta);

preço: US$ 3.”
“Trojan emula WebMoney Keeper Classic; preço: US$ 500.”

“Confira minha versão privada, que foi projetada para interceptar • Acesso instantâneo a todos os serviços: Capacidade de ler todos
chaves do amplo sistema bancário iBank. O iBank é usado pelos os SMS recebidos e enviados de um assinante.
principais bancos da CEI, como AlfaBank, UkrSotsBank, Banco de
Moscou… Para obter detalhes, revise a lista de bancos (Rússia). A • Função para visualizar o remetente/ destinatário, incluindo seu
funcionalidade principal é implementada em uma DLL e começa a nome tal como está (conforme registrado na agenda do
funcionar automaticamente assim que a biblioteca é carregada na telefone no qual o programa está instalado)
memória (ou seja, você pode adicionar facilmente a funcionalidade
às suas ferramentas). É assim que funciona: • Modo totalmente furtivo, ou seja, não há
sinais de funcionamento do programa
• O Trojan procura a janela do cliente do banco, captura todas
as teclas pressionadas e chama arquivos na máquina • Completamente anônimo, ninguém conseguirá descobrir quem
virtual Java (ou seja, NÃO EXISTEM JANELAS FALSAS instalou o programa no telefone
que possam facilmente revelar a presença do Trojan na
máquina devido à ausência do banco de dados logotipo).
• O aplicativo funciona em roaming
• Após o fechamento da janela do cliente do banco, o Trojan cria • Foi implementada uma versão que roda em
um arquivo de sessão baseado nos dados capturados que modo invisível completo
contém todas as teclas pressionadas e a chave do banco
de forma codificada!!! O Trojan é adequado para versões online • O celular começa a transmitir mensagens
e locais do aplicativo cliente do banco.” somente quando estiver em modo standby, ou seja, quando seu menu
estiver desligado e nenhum botão estiver pressionado
“Também ofereço um bot ICQ que dá acesso de linha de comando a • Consequentemente, o usuário não suspeitará de nada
uma máquina e possui um DETECTOR DE DISPOSITIVO CONECTADO
integrado (ou seja, você saberá quando o token do banco for O programa custa US$ 350.”
inserido!!)!!! Tamanho: 15kb não compactado; desenvolvido em
montagem (FASM). Para espionagem, o Trojan altera a lista de “Estou vendendo o código-fonte do Limbo. Se você não sabe, este é
exportação de uma das DLLs Java. Isto garante a operação ESTÁVEL um Trojan que existe há dois anos. O preço é de US$ 300. Entre em
do sistema em oposição ao método INJECTION. Vou considerar vender o contato com o autor via PM.”
Trojan e o código-fonte (US$ 3.000).”
“Estou vendendo três controles administrativos para o SpyEye
“Estou vendendo um programa para interceptar SMS. O programa é 1.3 (cliente, principal e capturador de formulários); plug-ins para
baseado em um espião de SMS móvel. Funciona por meio de alarmes. a nova versão do SpyEye; colecionador da nova versão; despejo de
A funcionalidade do programa reside na transmissão simultânea banco de dados da nova versão; o manual mais detalhado sobre
de SMS. configuração e instalação do SpyEye 1.3. Cada linha nas configurações
é explicada: o quê, onde, como e por quê.
• Você envia um SMS do Skype para o telefone da vítima. Ou seja, todos os módulos da nova versão. Sem publicidade!
Um MMS chega. Quando o MMS é aberto, o programa é Estou pronto para mostrar capturas de tela dos controles administrativos
instalado automaticamente no telefone. e o que você quiser. A suíte custa US$ 300.”
• Agora, tudo o que chega ao telefone da vítima

virá até você ao mesmo tempo.
• SMS Spy permite capturar SMS de outras pessoas durante o vôo.
Você gostaria de fazer alguma espionagem? Você quer ter certeza

do seu parceiro? Ou você gostaria de rir de seus amigos? Então você
veio ao lugar certo! Fique por dentro! Este é o serviço para você!
Sua namorada envia SMS constantemente e diz que são para a
namorada dela? Quando ela disca um número que você não
consegue ver, ela vai para outro quarto e diz que ligou para a
namorada? Você gostaria de descobrir?

Rootkits
Um rootkit [ÿÿÿÿÿÿÿ] é um programa que oculta certos elementos (por Aqui está um exemplo de postagem de um cibercriminoso
exemplo, arquivos, processos, entradas de registro do Windows, locais oferecendo rootkits (traduzido do russo):
de memória, conexões de rede, etc.) de outros programas ou do sistema
operacional de um computador. Os rootkits podem ocultar processos, “Os drivers são carregados antes da inicialização do kernel do NT, o que
chaves de registro e outras evidências da existência de software significa que eles são carregados antes do início do PatchGuard.
malicioso em um computador. No Windows, todos os aplicativos A assinatura digital do motorista não é necessária. Todas as versões
são executados no Anel 3. O sistema e os drivers, por outro lado, operam do sistema operacional Windows são suportadas do XP ao 7 SP1,
no Anel 0. Os programas executados no Anel 0 naturalmente têm inclusive. Duas arquiteturas são suportadas – x86 e AMD64 (EM64T).
habilidades significativamente maiores. Observe, entretanto, que nem O código do carregador muda. Consiste em um certo número de blocos
sempre é possível passar do Anel 3 para o Anel 0. Esta é a razão pela que são deslocados aleatoriamente cada vez que o projeto é construído.
qual existem dois tipos de rootkit— Assim, a imagem binária de cada carregador recém-compilado difere
aqueles que funcionam no nível do aplicativo e aqueles que funcionam da anterior.
no nível do kernel. O projeto é construído usando MS Visual Studio 2005 e MS Windows
XP DDK. Ele foi desenvolvido primeiro para x86 e AMD64. O preço é
As funções da interface de programação de aplicativos (API) existem para US$ 292.”
permitir a comunicação entre programas e um computador.
Uma API é um conjunto de funções projetadas para que o usuário
possa acessar o kernel de um computador no nível do aplicativo. Se
um programa quiser visualizar uma lista de arquivos em um diretório, ele
deverá chamar diversas funções de API. Uma das maneiras pelas quais
o malware oculta arquivos é interceptar e alterar chamadas de
função de API.
Rootkits são uma mercadoria bastante rara no mercado clandestino.

Ocasionalmente, porém, tópicos relacionados a vendas de rootkits
ainda podem ser encontrados.
Preços de rootkits
Oferta Preço
Rootkit Linux que substitui ls, US$ 500

find, grep e outros comandos
Rootkit do Windows que opera no US$ 292

nível do driver e que
permite o download de
drivers especialmente montados
Tabela 9: Preços de rootkits
Bootkits, que são mais eficazes que rootkits, também estão disponíveis,
mas são caros. Um carregador de boot para drivers possibilita o
download de drivers especialmente montados assim que o sistema
operacional é iniciado.

Serviços de Engenharia Social Serviços de hackers
Engenharia social é um termo que crackers e hackers usam para O hacking de contas [ÿÿÿÿÿ ÿÿÿÿÿ] é muito popular entre os
denotar acesso não autorizado a informações por meio de algo cibercriminosos. A procura por tal serviço é enorme, por isso os
diferente do uso de software. O objetivo é ser mais esperto que as anúncios deste tipo abundam nos mercados clandestinos. Os
pessoas para obter suas senhas ou outras informações confidenciais alvos de hackers mais comuns são contas de e-mail e redes sociais.
que possam ajudar os cibercriminosos a violar a segurança de Contas de sites e fóruns invadidas são vistas com menos frequência.
seus computadores. Os tipos clássicos de fraude incluem fazer Na verdade, cada pedido concreto geralmente é tratado separadamente
ligações telefônicas para uma empresa para verificar quem possui as em uma conversa privada.
informações necessárias e, em seguida, ligar para seu
administrador usando a identidade de um funcionário com problema
urgente de acesso ao sistema.
Força bruta
Na sua forma pura, a engenharia social não atrai fraudadores.
No entanto, podem ser encontrados serviços de formação em A força bruta [ÿÿÿÿ] é um dos meios mais antigos pelos quais os
engenharia social, embora sejam bastante raros. A engenharia cibercriminosos invadem e-mails e outras contas (por exemplo,
social permite principalmente que os fraudadores invadam as contas FTP, Telnet e ICQ). A força bruta é simplesmente “adivinhar a senha
de e-mail ou de redes sociais das vítimas. Ele também atrai de alguém”. Programas especiais que automatizam esse processo
efetivamente as pessoas a visitarem páginas da web carregadas de exploraçãoestão disponíveis no mercado clandestino. Tudo o que é necessário é
e phishing.
compilar um bom feed de dicionário. Em seguida, ele tentará cada senha,
uma de cada vez, e informará qual delas funciona.
Os programas de força bruta mais populares são Brutus e Hydra.

Hackear contas por meio de força bruta é muito difícil porque a senha
necessária pode não estar no dicionário do programa. Além disso, tentar
todas as senhas pode levar um tempo considerável. O crescimento
do poder computacional, no entanto, está permitindo que a força bruta
ganhe mais uma vez relevância. Alguns cibercriminosos oferecem
até serviços para descriptografar hashes.
Adivinhando respostas para perguntas secretas
Adivinhar as respostas às chamadas “perguntas secretas” é

relevante para hackear contas de e-mail. Porque as pessoas
frequentemente fazem perguntas como “Onde eu moro?” ou
“Qual é a sua comida favorita?” como avisos para acessar suas
contas caso esqueçam seus nomes de usuário ou senhas, não é
tão difícil para os cibercriminosos hackeá-los.

Explorando vulnerabilidades de sites Uma das vulnerabilidades mais exploradas via SiXSS é o chamado
“bug de inclusão”. Para simplificar o processo de adição de novas
páginas a um site ou outras tarefas semelhantes, os administradores
Os sites são mais comumente vulneráveis à injeção de SQL e ao cross- do site usam a função include($file) em scripts onde $file é definido
site scripting (XSS). pelo usuário ou especificado em uma URL (por exemplo, <a href=http ://
victim.com/news.php?file=somefiletarget=“_
Injeção SQL em branco”> http://victim.com/news.php?file=somefile</a>).
Em vez da função include(), o conteúdo de algum arquivo é inserido. Isso
A injeção de SQL ocorre quando um usuário insere dados para formar pode ser muito conveniente, mas se o valor dos dados inseridos pelo
consultas SQL sem verificação e um hacker insere dados que lhe usuário não for verificado, mais cedo ou mais tarde, um usuário mal-
permitem obter qualquer tipo de informação de um banco de dados SQL. intencionado poderá facilmente inserir <a href=“http://victim.com/
A solicitação utilizando a consulta, SELECT login, senha FROM membros news.php?file=/etc/passwd” target=“_blank”>http://vítima.
onde email='$email';”, onde o valor de $email é inserido pelo usuário em com/news.php?file=/etc/passwd</a> para obter o conteúdo de uma
uma tabela, é processada em uma página web. Os resultados dessa página.
consulta também são exibidos em uma página da web. Um hacker pode
modificar esses dados e inserir 'my@mail.ru'OU login LIKE '%admin%'” O bug de inclusão do PHP é uma vulnerabilidade bastante interessante
no formulário. A solicitação SQL se tornará então SELECT login, que pode ser considerada uma subespécie do bug de inclusão.
password FROM membros onde email='my@mail.ru' OR login LIKE Ao contrário do bug de inclusão, o bug de inclusão do PHP não tem como
'%admin%';, o que permitirá que um hacker obtenha as senhas de usuários objetivo obter dados de algum arquivo, mas sim inserir código PHP
cujos nomes de usuário tenham 'admin '. em uma página e posteriormente executar esse código no servidor da
página. Aqueles familiarizados com PHP sabem que fragmentos de código
agrupados em <? ... ?> ou <?php ... ?>) são simplesmente inseridos em
uma página web. Quando processados por um servidor linha por linha,
Script entre sites esses fragmentos são executados. Em outras palavras, pedaços de
código podem ser inseridos em uma página da web explorando um bug de
XSS é comumente usado para hackear contas de e-mail. Ele permite inclusão do PHP.
que o JavaScript seja executado no navegador da vítima, possibilitando
que bandidos roubem cookies ou sequestrem sessões abertas. Uma página da web com o conteúdo do código 'include($file)' onde o valor
XSS, entretanto, não é fácil de executar. Para hackear a conta de e-mail de $file é definido por um usuário pode ser explorada. Um hacker
de uma vítima, primeiro é necessário encontrar uma vulnerabilidade XSS pode preparar antecipadamente um arquivo com o código PHP que deseja
no site que armazena as credenciais de sua conta. Porém, é possível executar em um servidor vulnerável. Ele então carrega o arquivo em seu
encontrar e comprar explorações para vulnerabilidades comuns em Mail.ru próprio servidor web e insere a solicitação, <a href=“http://victim.com/
e Yandex.ru em vários fóruns. news.php?file=http://attacker.
host.com/php_code.php” target=“_blank”>http://vítima.
com/news.php?file=http://att...om/php_code.php</a>. Isso insere o código
Script entre sites de injeção SQL
PHP do hacker na página vulnerável, que é então executada por seu
servidor.
Injeção de SQL XSS (SiXSS) é uma combinação de injeção de
SQL e XSS – instigando um ataque XSS por meio de uma
vulnerabilidade de injeção de SQL usando um script. Usando Sniffers, Trojans, Sites de
Phishing e Engenharia Social
Para hackear contas, usar sniffers, cavalos de Tróia, sites de phishing e

engenharia social é uma prática comum.
Um sniffer é um programa que intercepta o tráfego de rede. Um grande

número de sniffers já foram customizados especificamente para
capturar senhas de contas de e-mail.
As senhas das contas podem, no entanto, ser obtidas infectando os
computadores das vítimas com cavalos de Troia por meio de downloads
drive-by, por exemplo.

Sendo um dos meios mais antigos pelos quais os cibercriminosos “Mail.ru (List.ru, BK.ru, Inbox.ru): US$ 70; Yandex.ru: US$ 70;
roubam senhas, o phishing continua eficaz até hoje. Rambler.ru: US$ 70; Gmail.com: US$ 85; Pochta.ru: US$ 60; UKR.net: US$
Os bandidos criam cópias falsas de páginas de login, que coletam credenciais 60; Odnoklassniki.ru (fornecido com um endereço de e-mail): US$85;
de usuários. Os usuários que examinam URLs e páginas, no entanto, têm Vkontakte.ru (fornecido com um endereço de e-mail): US$ 85”
maior probabilidade de cair em meios mais sofisticados de roubo de
dados, daí o surgimento da engenharia social.
Preços de serviços de hacking
Os domínios de e-mail mais populares hackeados por cibercriminosos

na Rússia são Mail.ru, Yandex.ru e Rambler.ru. As redes sociais,
Vkontakte e Odnoklassniki, também são alvos populares. Serviços e
ferramentas para hackear Gmail, Hotmail e Yahoo! O correio também está
disponível, mas a preços premium. Ofertas para hackear contas do ICQ,
Skype, Twitter e Facebook, bem como outros serviços, não são muito
populares, mas também podem ser encontradas.
Oferecendo Preço
contas Mail.ru, Yandex.ru US$ 16–97

e Rambler.ru
Contas conhecidas Vkontakte e US$ 97–130

Odnoklassniki (sem
garantias)
Contas desconhecidas Vkontakte e US$ 325+

Odnoklassniki (sem garantias)
Tabela 10: Preços de serviços de hacking

oferecem serviços de hacking (traduzidos do russo):
“Mail.ru (@BK.ru, @inbox.ru, @list.ru): US$41; Mail.ru, Bk.ru, Inbox.ru, List.ru:

US$ 100; Yandex, Rambler: US$ 150; Gmail, Googlemail.com: US$ 180;
Yahoo.com: US$ 350; Hotmail.
com: US$350; Odnoklassniki: US$ 100; Vkontakte: US$ 100”
“Mail.ru, Bk.ru, Inbox.ru, List.ru: US$ 97; Mail.qip.ru: US$ 97; Gmail.ru: US$
97; Yandex, Rambler: US$ 130; Ngs.ru, caixa de entrada.
lv, @gmx.de, AOL.com: US$ 130; @i.ua (UA.fm, Email.ua), @ukr.net,
@ukrpost.net, Bigmir.net: US$ 130; Gmail.com, Googlemail.com: US$
162; Yahoo.com: US$ 162; Hotmail.
com: US$162; se o endereço de e-mail das redes sociais, ICQ e Skype for
desconhecido, o custo será de US$ 325; se o e-mail for conhecido, então:
Odnoklassniki: US$ 130, Vkontakte: US$ 130, Mamba.ru: US$ 130,
Facebook.com: US$ 130, Twitter.
com: US$ 130; Serviços de mensagens instantâneas: Skype.com: US$
130, ICQ.com: US$ 130; aquisição do endereço IP do alvo: US$65; e-
mail corporativo: US$ 500 por caixa de correio”

Vendas de cópias de documentos digitalizados Serviços de fraude de SMS
Para confirmar a identidade de um usuário, alguns cibercriminosos exigem Os serviços de fraude por SMS são bastante raros, em grande parte
cópias digitalizadas de documentos (por exemplo, passaporte, carteira de devido ao desenvolvimento da Internet e ao surgimento de formas mais simples
motorista, etc.). Se, por exemplo, um hacker precisar verificar uma conta do de ganhar dinheiro. Às vezes, porém, podem ser encontrados serviços para
PayPal, ele precisará enviar uma cópia digitalizada do passaporte ou da carteira enviar SMS usando números falsos ou para ativar outros serviços via SMS.
de motorista do proprietário. Cópias digitalizadas de documentos vendem
muito bem no mercado clandestino. Alguns também oferecem serviços para
retrabalhar documentos digitalizados usando um modelo. Preços de serviços de fraude de SMS
Cópias digitalizadas de bancos de dados são difíceis de encontrar, mas
também existem no mercado clandestino.
Oferta Preço
Preços de cópias de documentos digitalizados Serviço de ativação de SMS para:

1–10 dispositivos US$ 0,40
11–20 dispositivos US$ 0,45
Oferta Preço Mais de 21 dispositivos US$ 0,50
Russo e outros US$ 2–5 Serviço de spam por SMS (todos US$3 por 100 mensagens de texto
Comunidade de Operadores russos) US$ 20 por 1.000 mensagens
Passaporte de país dos Estados de texto
Independentes (CEI) US$ 150 por 10.000 textos
mensagens
Passaporte europeu US$ 5
Serviço de spam por SMS (com substituição
Serviço de retrabalho de documentos US$ 15–20
de número de telefone) para:
Serviço de retrabalho de cartão de crédito US$ 25
1 mensagem de texto US$ 0,15

Tabela 11: Preços de cópias de documentos digitalizados 3 mensagens de texto US$ 0,35
5 mensagens de texto US$ 0,65
Aqui está um exemplo de postagem cibercriminosa que oferece um banco de 8 mensagens de texto US$ 1,15
dados de documentos (traduzido do russo):
“Banco de dados de documentos (passaporte, cc, carteira de motorista,
conta de luz, extrato bancário) preço: US$ 195; mais de 500 documentos e
modelos”
Tabela 12: Preços dos serviços de fraude de SMS
Software de entrega de SMS também é vendido.
Aqui estão exemplos de postagens de criminosos cibernéticos que oferecem

serviços de SMS (traduzidos do russo):
“Venda de software de entrega de SMS: Preço no site oficial: US$

160; meu preço: US$ 100”
“Inundador de SMS PHP; velocidade: 2 SMS por segundo; preço: US$ 16”
“Inundador de SMS à venda; preço: US$ 65”

Serviços de ransomware Vendas de chave serial
A prática de extorsão online mais difundida envolve o uso de um bloqueador A venda de chaves de ativação de software é comum no
do Windows. Um bloqueador como o Winlocker é um tipo especial de mercado clandestino. Na verdade, as chaves seriais podem ser
malware projetado para paralisar o sistema operacional de um computador. facilmente obtidas a preços baixos.
Sua execução estimula o aparecimento de um prompt solicitando
ao usuário que deposite uma certa quantia de dinheiro na conta do Aqui estão exemplos de postagens de criminosos cibernéticos que oferecem
hacker para desbloquear seu sistema. chaves seriais (traduzidas do russo):
Às vezes, os Winlockers são vendidos no mercado clandestino, embora
raramente. “Windows 7 Ultimate: US$ 7, Windows 7 Professional: US$ 5,
Windows 7 Home Premium: US$ 3, WinServer 2008: US$ 5;
Preços de serviços de ransomware MS Office 2010: US$ 4; MS Office 2011 para Mac: US$4”
“Chaves de ativação do Kaspersky Internet Security 2010/2011: 1 ano:

Oferta Preço US$4, 2 anos: US$7”
Winlocker US$ 10–20
Construtor Winlocker US$ 20–25
Código fonte do Winlocker US$ 8
Tabela 13: Preços de serviços de extorsão online

Explorações
Exploits [ÿÿÿÿÿÿÿ], também conhecidos como “sploits”, são programas, mais O alcance de uma exploração é uma medida de sua eficiência – a proporção
frequentemente scripts, que exploram vulnerabilidades em outros programas ou de usuários em cujos computadores a exploração funcionou em relação ao
aplicativos. O tipo mais comum são as explorações de navegador, que número total de usuários que visitaram uma página na qual ela estava
permitem o download de arquivos maliciosos. incorporada. Assim, se 1.000 usuários visitaram uma página carregada de
As explorações introduzem códigos que baixam e iniciam arquivos exploração e os computadores de 200 pessoas foram infectados com sucesso
executáveis no computador da vítima. por um Trojan, o alcance dessa exploração será igual a (200/1.000) *
100 ou 20%.
Um exemplo de ataque de exploração está causando um estouro de
buffer inteiro no método setSlice() no componente ActiveX As explorações XSS também estão disponíveis no mercado
WebViewFolderIcon. Usando uma página da web ou e-mail especialmente clandestino. A exploração da vulnerabilidade XSS ocorre quando um
construído, um usuário remoto pode corromper a memória de um computador script geralmente malicioso incorporado em um site é capaz de se comunicar
e executar código arbitrário. com o conteúdo de um site diferente ou de uma página HTML local, daí
A execução arbitrária de código ocorre quando uma pessoa que usa um seu nome. Ao contrário de outros ataques, os hackers utilizam servidores
navegador vulnerável navega para uma página da Web incorporada com suscetíveis ao XSS como intermediários para atacar os visitantes de sites
uma exploração. infectados, forçando os seus navegadores a executar scripts maliciosos.
As explorações geralmente são instaladas em servidores de hospedagem. Um

pacote de exploits é um script especial, geralmente escrito em PHP, que combina Em um ataque XSS, após a execução de um script malicioso, o script passa a
vários exploits. Usar um pacote é muito mais eficaz do que usar explorações receber comandos de um recurso remoto, controlando o navegador da
individuais. Convencionalmente, os pacotes são categorizados como vítima sem alertá-la sobre o que está acontecendo e realizando as ações
“inteligentes” ou “não inteligentes”. necessárias. Um script pode ser invocado localmente em um sistema
ou pode residir em um estado inativo em um servidor web comprometido
até que o usuário afetado faça chamadas para uma página web infectada.
Um pacote de exploits não inteligente simplesmente baixa todos os exploits O script então se torna ativo na máquina do usuário e começa a executar
de um pacote de uma só vez, independentemente do navegador usado pela operações prejudiciais.
vítima. Como tal, não é uma solução muito eficiente porque executar vários
exploits em um pacote pode causar mais danos do que benefícios. As
rotinas de uma exploração podem interferir nas rotinas de outra Ataques XSS bem-sucedidos exigem a satisfação de vários critérios: o uso de
exploração. Pacotes não inteligentes são geralmente mais baratos que os um navegador insuficientemente seguro que não compare a origem de um
inteligentes. script com as permissões que ele busca e uma página da Web escrita de
forma descuidada que não tenha verificação suficiente de entrada de
Pacotes inteligentes determinam o navegador e as versões do sistema dados. A engenharia social é frequentemente empregada para fazer com
operacional da vítima antes de baixar as explorações apropriadas. Se eles que uma vítima em potencial clique em um link para uma página que foi
não tiverem um exploit para o sistema operacional e o navegador do usuário, incorporada com código malicioso.
eles não baixam nada.
A maioria dos ataques XSS tem como alvo os cookies de sessão dos usuários—
Como regra, os exploits agrupados são criptografados para evitar a detecção de arquivos salvos em sistemas sempre que visitam um site.
malware por software de segurança. Os desenvolvedores de pacotes também O roubo de cookies permite que hackers se façam passar por usuários e
tentam ofuscar o código-fonte de suas explorações para evitar que as vítimas executem ações em seu nome. Os cookies são transmitidos aos invasores por
percebam sua execução em sites. Cada pacote também pode obter estatísticas meio da execução de comandos no script malicioso. Uma exploração XSS bem-
(por exemplo, um mecanismo para registrar o número de visitantes, suas sucedida pode impedir que suas vítimas acessem dados importantes e
versões de sistema operacional, versões de navegador, etc.). expô-las ao roubo de identidade. As sessões de sequestro permitem que o
proprietário de um script se envolva em qualquer tipo de atividade que o
verdadeiro proprietário da conta seja capaz de realizar, como ler e excluir e-
mails, realizar transações financeiras e escrever postagens em redes
sociais.

O XSS também pode ser usado para roubar dados de formulários.

Oferta Preço
As explorações XSS podem ser convencionalmente categorizadas como
ativas ou passivas. Uma exploração passiva de XSS requer a participação Explorar aluguel de pacote:
direta da vítima, por exemplo, clicando em um link malicioso, o que requer 24 horas US$ 25
engenharia social e truques.
1 semana US$ 125
1 mês US$ 400
Uma exploração XSS ativa, por outro lado, não requer nenhuma ação Aluguel do Styx Sploit Pack (afeta US$ 3.000 por mês
adicional por parte da vítima. Tudo o que a vítima precisa fazer é abrir Java e Adobe Acrobat e
uma página da web carregada de XSS para executar automaticamente Reprodutor Flash)
o código malicioso. Devido à sua natureza automatizada, as explorações Eleonore Exploit Pack v. 1.6.2 US$ 2.500–3.000
XSS ativas são mais caras. (para Microsoft Data Access
Components [MDAC], IEpeers,
SnapShot, HCP, JDT, JWS, PDF
Explorar preços collab,collectEmailInfo, PDF
SING e Java Invoke(chain) 1.5/1.6;
alcance médio de 10 –25%)
As explorações podem ser vendidas individualmente ou em pacotes. Alguns também
estão disponíveis para aluguel.
Phoenix Exploits Kit v. e PDF Lib US$ 2.200 por domínio
TIFF)
Pacote menos popular e US$ 25+

menos eficaz
Exploração XSS para Mail.ru:

Exploração XSS ativa US$ 50–150
Exploração XSS passiva US$ 10–35
Exploração XSS passiva US$ 10–50
para Rambler.ru e Yandex.ru
Exploração XSS para Gmail.com US$ 200
Exploração SQL para um site US$ 100

com 50.000 visitantes por dia
Explorar o serviço de criptografia

de pacote:
1 vez US$ 50
Assinatura de 1 mês (5 vezes) US$ 150
Tabela 14: Explorar preços de serviços

Falsificações Tráfego
Um falso é um programa que copia a interface de outro programa ou site para Tráfego [ÿÿÿÿ] refere-se ao fluxo de visitantes de um determinado site.
capturar certos tipos de dados, principalmente senhas. O objetivo principal de O volume de tráfego refere-se ao número de visitantes (ou seja, únicos ou não)
usar uma falsificação é induzir o usuário a inserir seu nome de usuário e senha ou de um site durante um determinado período de tempo. O tráfego usado pelos
outros tipos de dados confidenciais em um formulário. cibercriminosos pode ser dividido em duas categorias: tráfego para explorações
para obter downloads e tráfego para fins de blackhat SEO. Existem diversas
fontes de tráfego, incluindo sites hackeados, sites da lista branca, portas
Clientes ICQ falsos, bem como páginas de bancos e redes sociais são e distribuidores de spam.
vendidos online. As falsificações estão intimamente relacionadas ao phishing
– um dos métodos mais comuns usados para cometer fraudes online.
Phishing refere-se basicamente a um conjunto de ações para induzir os Porém, o tráfego iframe é mais comumente usado para obter downloads.
usuários a fornecer informações pessoais ou confidenciais. O phishing Para obter tráfego, um site é hackeado inserindo um iframe em uma de
moderno pode ser dividido em três tipos: online, e-mail e híbrido. suas páginas. Um iframe, também conhecido como “quadro embutido”, é
um “quadro flutuante”. Por estar oculto, os visitantes de sites invadidos são
O meio de phishing mais antigo é realizado por e-mail. direcionados, de forma inconsciente e automática, às páginas dos hackers.
Como resultado, os hackers obtêm muito tráfego, que podem vender ou usar
Enquanto isso, o phishing online depende do uso de falsificações e envolve a para fins maliciosos.
cópia de sites oficiais, mas usando nomes de domínio ou URLs de aparência
semelhante. Isso também é conhecido como “spoofing de site”, em que
usuários que visitam sites falsos digitam informações pessoais em formulários, O gerenciamento do conteúdo de sites invadidos pode ser feito por
acreditando que estão em sites oficiais. meio de uma conta FTP ou de um web shell. Um web shell é um programa
especial ou script projetado para gerenciar remotamente o conteúdo de um site.
Finalmente, o phishing híbrido envolve a criação de uma versão falsificada
do site legítimo de uma empresa. Os hackers incomodam os usuários com
instruções para incentivá-los a fazer algo nesses sites. O tráfego pode ser de natureza tópica, dependendo do tipo de site de onde
veio. O tráfego comercial é mais valioso porque os visitantes do site comercial
geralmente são pessoas sérias e com dinheiro. Como tal, é provável que os seus
Preços Falsos downloads se transformem em lucro para os hackers. O tráfego adulto (por exemplo,
tráfego de sites pornográficos) também merece ser mencionado, mesmo que seja
menos valioso porque os sites pornográficos recebem muitos visitantes.
As falsificações não são mais muito procuradas, principalmente devido
ao aumento do conhecimento de informática entre os usuários. Como tal, as
falsificações são bastante baratas. O tráfego é frequentemente classificado de acordo com os países dos
visitantes. O tráfego proveniente da Austrália, dos Estados Unidos, da Grã-
Oferta Preço Bretanha, da Alemanha e da Itália é o mais procurado. O tráfego proveniente

desses países é principalmente tráfego comercial. As misturas de tráfego
Site falso US$ 5–20
também são frequentemente vendidas.
Guardião falso do WebMoney US$ 50
Domínio de phishing pré- US$ 50 cada O tráfego para fins de blackhat SEO aumenta o número de visitantes de um
pago de 1 ano (por exemplo, site selecionado. O tráfego é gerenciado por meio de um sistema de direção de
vk0ntakte.net.ua e vkontaktu.net.ua) tráfego (TDS).1
Tabela 15: Preços falsos
1 http://www.trendmicro.com/cloud-content/us/pdfs/security-
intelligence/reports/rpt_malware-distribution-tools.pdf
Otimização de mecanismo de pesquisa Blackhat

Serviços
Preços de tráfego SEO usa várias técnicas para promover sites e otimizá-los para pesquisas.
É um meio legítimo pelo qual as organizações conscientizam seus sites,
fazendo-os aparecer no topo das páginas de resultados de pesquisa.
Como esperado, o tráfego custa muito menos que os downloads.
O tráfego proveniente de países europeus e dos Estados Unidos é mais caro
(ou seja, 7 a 15 dólares por 1.000 visitantes) do que o tráfego proveniente de Um conceito importante frequentemente encontrado em relação ao SEO
outros países. No geral, a classificação do país em termos de preço é a mesma envolve o Topical Citation Index (TCI). É um método utilizado pelo motor
dos downloads. Às vezes, anúncios de TDSs podem ser encontrados, de busca Yandex para determinar a “autoridade” de um recurso da Internet
embora muito raramente. com base nas características dos links de outros sites para ele. O TCI
é calculado usando um algoritmo especialmente desenvolvido, no qual é
Aqui estão exemplos de postagens de criminosos cibernéticos que dada especial importância à “proximidade do tópico” de um recurso e dos
oferecem tráfego (traduzido do russo): sites vinculados a ele. Apenas valores aproximados são especificados, o
que ajuda a determinar aproximadamente a autoridade dos sites.
“Fluxo nos EUA de 50.000/ dia; iframe. Vou vender por US$ 9. 30% é tráfego
adulto; o resto está relacionado a filmes, músicas, jogos e namoro.”
Existem várias maneiras de melhorar o TCI de um site, incluindo

“US$ 6 para 1.000 visitantes (IT, PL, BR, AR, ES).” registrar-se em catálogos e diretórios de artigos, comentar em fóruns com links
para o site, assinar livros de visitas com links para o site, postar em painéis de
“1.000 visitantes: US$ 10 (RU); 1.000 visitantes: US$ 4 (misto)” anúncios e trocar links.
“Portal TDS + sistema de redirecionamento exclusivo, preço: US$600. Todas as

atualizações são gratuitas.” Blackhat SEO é a forma maliciosa de usar SEO. Muitas vezes envolve o
uso de portas ou sites gerados por um programa (ou seja, gerador de
portas) cujas páginas são otimizadas (ou seja, têm muito spam de
pesquisa e links cruzados) para várias consultas de pesquisa a fim de
redirecionar visitantes, também conhecidos como “drones”. para um
determinado site.
Xrumer [Xÿÿÿÿÿ] é uma das ferramentas blackhat SEO mais populares

disponíveis online. Diversas versões do programa, aliás, são vendidas com
recursos como:
• Publicação direta: o texto de um cliente é distribuído em fóruns, livros

de visitas ou blogs.
• Postagem agressiva: semelhante à postagem direta, exceto

pelo fato de um tópico ser criado em todas as seções de mais de um
fórum.
• Utilização de perfis: Perfis com links para o site do cliente são cadastrados
nas home pages, resultando em backlinks “infinitos”.

Conclusão
• Uso do método ref spam: Consiste no envio de ref À medida que a comunidade clandestina russa modifica continuamente
solicitações para páginas de um site com referer=“your_ os alvos e melhora as tecnologias, as empresas e utilizadores de
website” definido na solicitação. Como resultado, o endereço do site segurança devem enfrentar constantemente o desafio de proteger
de um cliente é exibido em todos os sites em uma página especial, com eficazmente o seu dinheiro e as informações que armazenam nos seus
foco principalmente nos mecanismos de busca. computadores e outros dispositivos.
Este documento abordou apenas as ferramentas e tecnologias mais

básicas e fundamentais que os cibercriminosos criam e utilizam para
Otimização de mecanismo de pesquisa Blackhat
aprimorar seus negócios. Ele também contém instantâneos de preços
Preços de serviço coletados em fóruns clandestinos, a fim de traçar um quadro
abrangente da economia subterrânea russa e o quanto ela se
assemelha aos negócios do mundo real.
Oferta Preço
Banco de dados Xrumer com 30.000 A economia subterrânea russa é uma economia de escala, orientada para
sites (principalmente RU e EN): os serviços e que se tornou uma cleptocracia onde o capitalismo de compadrio
Postagem direta US$ 20 obteve uma nova vida no ciberespaço.
Postagem agressiva US$ 25
Uso do perfil US$ 20
Uso do método de spam de referência US$ 7
Xrumer 7 Elite (licenciado) US$ 295
Serviço de postagem Xrumer 7:

Com 9.000–10.000 perfis US$ 20
Por 30.000 postagens US$ 7
Postagem do Xrumer em fóruns, US$ 6 por 100.000 postagens

blogs e livros de visitas
Tabela 16: Preços dos serviços Blackhat SEO
Aqui está um exemplo de postagem de um cibercriminoso que oferece

serviços de SEO (traduzido do russo):
“Serviço de SEO no YouTube, MySpace, FaceBook, Twitter; preços:

YouTube: 1.000 visualizações por US$ 16; MySpace: 5.000 reproduções
da faixa (visualizações de página): US$50; 1.000 Facebook
Curtidas: US$ 140; 1.000 seguidores no Twitter: US$ 35”

Apêndice
Com base em pesquisas contínuas e monitoramento de vários Os 10 principais fóruns onde os cibercriminosos russos compram e vendem
Nos fóruns clandestinos russos, avaliamos a popularidade de várias atividades seus produtos foram:
e/ou serviços maliciosos e os classificamos abaixo:
1.antichat.ru
2.xeka.ru
1. Serviços de programação e vendas de software 3.carding-cc.com
2. Serviços de hackers 4. Explorar.IN
3. Vendas de servidores dedicados e serviços de hospedagem à 5. Ataque
prova de balas 6. XaKePoK.su
4. Serviços de spam e inundação, incluindo serviços de inundação de 7. CLUBE HACKER-PRO (HPC)
chamadas e SMS 8. XAkNet.ru
5. Baixe vendas 9. zloi
6. Serviços DDoS 10. HackForce.RU
7. Vendas de tráfego
8. Serviços de criptografia de arquivos
9. Vendas de cavalos de Tróia
10. Explorar serviços de redação e vendas

11. Vendas de cópias de documentos digitalizados e serviços de
retrabalho
12. Maneiras de ganhar dinheiro vendendo documentos online
13. Vendas por procuração
14. Vendas falsas
15. Botnets e vendas de bots, especialmente botnets ZeuS
16. Serviços VPN
17. Serviços Blackhat SEO
18. Vendas de número de série e código de ativação
19. Serviços de fraude de SMS
20. Vendas de bloqueadores de Windows e serviços de ransomware
21. Serviços de verificação de software de segurança
22. Vendas de contas FTP e web shell
23. Serviços de ofuscação de código malicioso
24. Vendas de rootkits
TENDÊNCIA MICRO™ TREND MICRO INC.
A Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder global em segurança na 10101 N. De Anza Blvd.
nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções Cupertino, CA 95014
de segurança de conteúdo da Internet e gerenciamento de ameaças para empresas e
consumidores. Pioneiros em segurança de servidores com mais Ligação gratuita nos EUA: 1 +800.228.5651
de 20 anos de experiência, oferecemos segurança de alto nível para clientes, Telefone: 1 +408.257.1500
servidores e baseada em nuvem que atende às necessidades de nossos Fax: 1 +408.257.2003
clientes e parceiros, interrompe novas ameaças mais rapidamente e protege dados www.trendmicro.com
em ambientes físicos, virtualizados e em nuvem . Alimentados pela infraestrutura de
segurança de computação em nuvem Trend Micro™ Smart Pro-tection Network™ líder
do setor, nossos produtos e serviços impedem ameaças onde elas surgem: na Internet.
Eles são apoiados por mais de 1.000 especialistas em inteligência de ameaças em todo o mundo.
©2012 da Trend Micro, Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são marcas comerciais ou marcas registradas da Trend Micro, Incorporated. Todos os outros nomes de produtos ou
empresas podem ser marcas comerciais ou marcas registradas de seus proprietários.

Ddos

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ddos

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Trend Micro Incorporada

Introdução ................................................. .................................................. ........................................ 1

PÁGINA ii | SUBTERRÂNEO RUSSO 101

Vendas de cópias de documentos digitalizados................................... .................................................. .......19

PÁGINA iii | SUBTERRÂNEO RUSSO 101

Introdução Serviços de criptografia e criptografia de arquivos

Uma das coisas mais importantes a ter em conta nesta esfera é o

• Criando macros: Uma macro é criada durante

PÁGINA 1 | SUBTERRÂNEO RUSSO 101

métodos mencionados acima, juntamente com a geração Marceneiro US$ 10–30

Em média, os serviços de criptografia custam entre US$ 10 e US$ 15.

Os serviços de criptografia que usam malware infame, como ZeuS,

PÁGINA 2 | SUBTERRÂNEO RUSSO 101

Servidores Dedicados Servidores proxy

Serviço de hospedagem à prova de US$ 15–250 por mês

Tabela 2: Preços de servidores dedicados

PÁGINA 3 | SUBTERRÂNEO RUSSO 101

Aqui estão exemplos de postagens de criminosos cibernéticos que

“Serviço SOCKS (cerca de 1.500 servidores online); preço: US$ 2/ dia,

“Lista de servidores SOCKS4/5: US$3 por 100 servidores”

“Serviço proxy: HTTP, HTTPS, SOCKS4, SOCKS5; preços: 5 dias = US$4;

PÁGINA 4 | SUBTERRÂNEO RUSSO 101

Uma VPN protege os dados criptografando todo o tráfego de

Preços de serviços VPN

serviço de 1 dia US$ 1–5

Serviço de 7 dias US$ 8–9

Serviço de 1 mês US$ 11–40

Serviço de 3 meses US$ 50–55

Serviço de 6 meses US$ 105–125

1 ano de serviço US$ 190–240

Tabela 3: Preços dos serviços VPN

Aqui estão exemplos de postagens de criminosos cibernéticos que oferecem

“VPN PPTP, VPN aberta, serviço VPN duplo, preço: US$11/

PÁGINA 5 | SUBTERRÂNEO RUSSO 101

Serviços pagos por instalação

Preços de serviço pago por instalação

Mistura europeia US$ 80

O valor do tráfego baseia-se principalmente na importância do seu

PÁGINA 6 | SUBTERRÂNEO RUSSO 101

Preços de serviços de programação

Os preços dos serviços podem depender de quem é o programador.

Aqui estão exemplos de postagens de criminosos cibernéticos

“Serviço de programação; Perl, PHP, C, Java, etc. Preços: A partir de US$100;

“Escrever e vender Trojans e outros malwares; disponível:

PÁGINA 7 | SUBTERRÂNEO RUSSO 101

Ataque distribuído de negação de serviço

• Ataque de inundação UDP: Envolve o envio de um grande número de

serviço DDoS de 1 dia US$ 30–70

Tabela 5: Preços de serviços DDoS

PÁGINA 8 | SUBTERRÂNEO RUSSO 101

* “Publicidade” foi substituída por “atualização”.

PÁGINA 9 | SUBTERRÂNEO RUSSO 101

O spam também pode ser categorizado em termos de meio de distribuição

Preços de serviços de spam

O mercado de serviços de spam é bastante diversificado. Bancos de dados,

Credenciais de contas de redes sociais, necessárias para distribuição de spam,

Os serviços privados de spam, que são usados para distribuir mensagens

Vários serviços de inundação, especialmente serviços de inundação

PÁGINA 10 | SUBTERRÂNEO RUSSO 101

Uma botnet é uma rede de computadores que são de alguma forma

Serviço de spam por SMS US$ 3–150 por 100–10.000 mensagens de

Serviço de inundação ICQ 24 horas US$ 30