# Dyre Wolf Campaign 2015 > [!high] Engenharia social evoluida burlou autenticação de dois fatores em transferencias bancarias > A campanha Dyre Wolf combinou malware bancario, engenharia social por telefone e ataques DDoS para roubar entre $500 mil e $1,5 milhao por vitima em transferencias wire de empresas. O Dyre foi responsavel por 24% de todos os ataques bancarios globais em 2015. ## Visão Geral A Dyre Wolf foi nomeada pela equipe de pesquisa IBM Security em abril de 2015 para descrever uma sofisticada campanha de crimes financeiros que elevou o trojan bancario [[s0024-dyre]] (também conhecido como Dyreza) de uma ferramenta de roubo de credenciais para um instrumento de fraude corporativa de alto valor. A campanha foi detectada visando exclusivamente organizacoes que realizam transferencias bancarias de grandes somas, tipicamente empresas de medio e grande porte. O que tornou a Dyre Wolf singular foi a combinacao incomum de tres elementos: malware bancario moderno, engenharia social por voz em tempo real, e ataques DDoS de cobertura. Os atacantes nao apenas coletavam credenciais bancarias - eles monitoravam atividade em tempo real e intervinham diretamente via telefone, se passando por representantes do banco enquanto a transferencia ilicita era executada. O grupo por tras do [[s0024-dyre]], identificado como Gold Swathmore pela Secureworks, e considerado precursor direto do [[g0102-conti-group]], o grupo que mais tarde operaria o [[s0266-trickbot]] e o ransomware [[s0446-ryuk]]. Varios membros do grupo foram presos em uma operação de inteligência russa em novembro de 2015, momento em que o Dyre deixou de operar. Para o setor financeiro no Brasil e LATAM, onde o phishing corporativo visando areas financeiras (Contas a Pagar, Tesouraria) e um vetor de ataque corriqueiro, a abordagem de engenharia social em tempo real documentada nesta campanha permanece extremamente relevante. ## Como a Campanha Funcionava ```mermaid graph TB A["Spear phishing<br/>Fax, fatura ou documento financeiro falso"] --> B["Upatre downloader<br/>Instala Dyre no sistema"] B --> C["Monitoramento silencioso<br/>Aguarda acesso bancario"] C --> D["Web inject / Redirecionamento<br/>Pagina falsa do banco exibe erro"] D --> E["Vitima liga para número exibido<br/>Engenharia social em tempo real"] E --> F["Atacante coleta credenciais + OTP<br/>Se passa por aténdente do banco"] F --> G["Transferencia wire executada<br/>$500k-$1.5M por vitima"] G --> H["DDoS contra banco/empresa<br/>Mascara a fraude e atrasa detecção"] ``` **Mecanismo de bypass de 2FA:** A innovacao critica da campanha Dyre Wolf foi o ataque hibrido ao sistema de autenticação de dois fatores: 1. O Dyre monitorava quando o usuario tentava acessar um dos centenas de sites bancarios monitorados 2. Ao detectar o acesso, substituia a pagina real por uma falsa exibindo "nosso sistema esta com problemas, ligue para [número]" 3. O mesmo número era usado para **todos** os bancos monitorados - os atacantes sabiam em tempo real qual banco responder 4. O operador respondia se passando por funcionario do banco, coletava credenciais e o token de OTP 5. Assim que a vitima desligava, a transferencia era executada e o dinheiro comecava a ser movimentado entre contas internacionais 6. Um ataque DDoS era frequentemente lancado contra a empresa-vitima para atrasar a descoberta ## Perfil do Dyre Malware O [[s0024-dyre]] era um dos trojans bancarios mais avancados de sua epoca: - **Bypass de HTTPS:** Interceptava trafego SSL para realizar man-in-the-browser attacks - **Web injects em tempo real:** Injetava código nas paginas bancarias para modificar o conteudo exibido - **Exfiltração de credenciais:** Coletava senhas, cookies de sessao e tokens de autenticação - **Atualizacoes frequentes:** A equipe de desenvolvimento do Dyre atualizava o malware regularmente para evadir AV - **Alcance:** Monitorava centenas de sites bancarios corporativos simultaneamente - **Infecção em cadeia:** Instalava-se via [[upatre]], um downloader minimalista distribuido por spam ## Impacto e Alcance - Mais de $1 milhao roubado por ataque em varios casos documentados - Dyre representou **24% de todos os ataques a contas bancarias empresariais** em 2015 (IBM) - Mais de 4.000 infeccoes registradas mensalmente no pico da campanha (fevereiro 2015) - Majoritariamente empresas norte-americanas, mas com vitimas globais - O grupo era suficientemente organizados para ter um "call center" de engenharia social operando em tempo real ## Contexto: A Morte do Dyre e o Nascimento do TrickBot Em novembro de 2015, o grupo desapareceu abruptamente - possívelmente resultado de uma operação de inteligência russa que prendeu membros da organização. Pesquisadores acreditam que membros sobreviventes ou sucessores do grupo fundaram o [[g0102-conti-group]], que em 2016 lancou o [[s0266-trickbot]], adotando uma arquitetura modular mais avancada e o modelo de Ransomware-as-a-Service. Esta linhagem de ameaça continua ativa até hoje, tornando a compreensao da campanha Dyre Wolf fundamental para entender a evolução do crime cibernetico financeiro organizado. > [!latam] Relevância para o setor financeiro no Brasil > O padrao de ataque da campanha Dyre Wolf - spear phishing direcionado a areas financeiras + engenharia social por telefone - e diretamente aplicavel ao contexto brasileiro. Grupos de cibercrime financeiro locais como os responsaveis pelo [[s0531-grandoreiro]] e campanhas de fraude via Pix adotam técnicas analogas. A combinacao de malware bancario com engenharia social "ao vivo" via telefone representa um vetor ativo e crescente no Brasil, especialmente contra PMEs sem controles adequados de autorização de transferencias. ## TTPs Documentadas | Fase | Técnica | Detalhe | |---|---|---| | Initial Access | T1566.001 - Spear Phishing Attachment | Upatre distribuido via e-mail como fatura/fax falso | | Execution | T1204.002 - User Execution | Usuario abre anexo malicioso inadvertidamente | | Credential Access | T1056.004 - Web Portal Capture | Web injects capturam credenciais bancarias em tempo real | | Credential Access | T1111 - MFA Interception | Engenharia social coleta OTP do usuario via telefone | | Impact | T1499 - Endpoint Denial of Service | DDoS contra banco/empresa para mascarar transferencia | | Exfiltration | T1041 - Exfiltration Over C2 | Credenciais exfiltradas via canal C2 cifrado | ## Detecao e Defesa para Setor Financeiro **Acoes prioritarias:** 1. **Verificação out-of-band de transferencias** - Toda transferencia acima de limiar deve ser confirmada por canal separado (nao o mesmo telefone) 2. **Treinamento anti-vishing** - Funcionarios de finanças devem saber que bancos NUNCA ligam pedindo credenciais ou tokens 3. **Monitoramento de DNS/HTTP** - Detectar web injects e redirecionamentos para paginas falsas 4. **Hardware tokens ou FIDO2** - Autenticação baseada em hardware e significativamente mais resistente a intercepcao 5. **Análise comportamental de emails** - Sandboxing de todos os anexos antes da entrega **Indicadores do Dyre:** - Processos do browser com conexoes C2 incomuns - Modificacoes de certificados SSL no sistema - Exfiltração de dados de formularios para dominios nao reconhecidos ## Referências - [1](https://thehackernews.com/2015/04/dyre-wolf-banking-malware.html) The Hacker News - Dyre Wolf Banking Malware Stole More Than $1 Million (2015) - [2](https://www.theregister.com/2015/04/04/dyre_wolf_malware_ibm_security/) The Register - Dyre Wolf IBM Security Report (2015) - [3](https://securityledger.com/2015/04/ibm-dyre-banking-malware-behind-sophisticated-crime-spree/) Security Ledger - IBM: Dyre Banking Malware Crime Spree (2015) - [4](https://techxplore.com/news/2015-04-corporate-accounts-dyre-wolf-campaign.html) TechXplore - Corporaté Accounts Targeted in Dyre Wolf Campaign (2015) - [5](https://www.scworld.com/news/ibm-phishing-scams-a-major-cause-of-bank-breaches) SC World - IBM: Phishing Scams and Dyre (2016)