Киберпреступники с разных континентов помогают друг другу «по–бразильски»

«Лаборатория Касперского» выяснила, что бразильские и российские киберпреступники активно взаимодействуют друг с другом и обмениваются методами проведения атак, тем самым стимулируя развитие вредоносных инструментов.

Бразильское и русскоговорящее киберпреступные сообщества лучше других известны экспертам в области информационной безопасности благодаря их относительной открытости, активной деятельности и большому количеству нелегальных онлайн–форумов. Исторически эти два сообщества развивались независимо друг от друга и создавали собственные техники кибератак, адаптированные под местные реалии (например, бразильский Boleto или российский банковский троянец Svpeng).

Однако в последние годы киберпреступники этих двух стран начали сотрудничать. На местных нелегальных форумах они находят образцы зловредов, приобретают друг у друга вредоносное ПО, например, для банкоматов и PoS–терминалов, или предлагают собственные услуги.
Следы этого двустороннего сотрудничества были обнаружены следующим образом. Выяснилось, что один из пользователей русскоязычного нелегального форума, проявивший интерес к покупке бразильских зловредов на популярном среди русскоязычных преступников нелегальном форуме, является завсегдатаем также и подобных бразильских форумов и известным распространителем программ–вымогателей в Бразилии.

Киберпреступники обмениваются и вредоносной инфраструктурой. Так, один и тот же алгоритм, который генерирует доменные имена для проведения атак, применялся сначала российскими, а затем и бразильскими злоумышленниками. Домены размещались на украинских серверах. Передача алгоритма на другой континент весьма усложнила процесс идентификации вредоносных командно–контрольных серверов исследователями и правоохранительными органами.

Киберпреступники также заимствуют друг у друга технологии для проведения атак. Например, по крайней мере с 2011 года бразильцы активно используют для перенаправления жертв на поддельные банковские страницы устаревшую технологию автоматической настройки прокси–сервера, которая все еще поддерживается некоторыми браузерами. Меньше чем через год оказалось, что этот же метод используется для распространения зловреда Capper — еще одного троянца, нацеленного на российские банки и, скорее всего, созданного русскоговорящими авторами.