ursnif-italy-campaigns

# Ursnif Italy Campaigns > [!danger] Gozi/Ursnif domina fraude bancaria na Italia entre 2017 e 2021 > As **Ursnif Italy Campaigns** foram uma serie de campanhas de fraude bancaria altamente especializadas para o mercado italiano, ativas entre 2017 e 2021. O malware [[s0386-ursnif|Ursnif/Gozi/ISFB]], adaptado com emails em italiano perfeito, impersonacao de instituicoes italianas (INPS, Agenzia delle Entraté) e técnicas avancadas de ofuscacao, tornou-se a principal ameaça ao setor bancario italiano do período. ## Visão Geral As Ursnif Italy Campaigns representam uma das mais sofisticadas operações de malware bancario focadas em um mercado europeu específico. O malware [[s0386-ursnif|Ursnif]] (Gozi/ISFB) - originalmente desenvolvido por grupos russos de cibercrime - foi extensivamente customizado para o contexto italiano: impersonava instituicoes governamentais italianas como o INPS (Instituto Nazionale della Previdenza Sociale - equivalente ao INSS brasileiro), a Agenzia delle Entraté (Receita Federal italiana) e bancos italianos de varejo. As campanhas utilizavam a botnet [[necurs|Necurs]] para distribuição de spam em larga escala, com picos de atividade correlacionados com períodos fiscais e de beneficios sociais na Italia. Em 2019, pesquisadores documentaram que uma variante do Ursnif italiano havia sido reescrita com novo mecanismo de ofuscacao baseado na cifra de Vigenere, tornando a detecção por assinaturas estáticas significativamente mais dificil. Uma caracteristica técnica notavel das campanhas italianas foi o uso de técnicas de esteganografia para entrega de payloads: imagens JPEG aparentemente normais hospedadas em servidores legitimos escondiam código malicioso que era decodificado pelo loader antes da execução. Esta técnica contornava proxies e sistemas de filtragem de conteudo web que nao inspecionavam imagens. A campanha de 2021 documentada por pesquisadores da Yoroi revelou uma versao ainda mais evasiva do Ursnif italiano que incluia verificacoes anti-sandbox e anti-VM, desistindo silenciosamente de qualquer infecção detectada como ambiente de análise. O grupo por tras das campanhas demonstrou capacidade de monitorar ferramentas de análise de malware e adaptar o código para evitar detecção. ## Cadeia de Infecção ```mermaid graph TB A["Email de spam em italiano INPS, Agenzia delle Entraté ou banco italiano"] --> B["Documento Excel ou Word com macro maliciosa ou link para download"] B --> C["Execução da macro VBA Cifra Vigenere para ofuscacao Loader decodifica payload"] C --> D["Download via esteganografia Imagem JPEG com payload escondido em pixels"] D --> E["Execução do Ursnif/ISFB Verificação anti-VM e anti-sandbox Abort se detectado ambiente de análise"] E --> F["Web injection em bancos italianos Modifica paginas de internet banking Roubo de credenciais e OTPs"] F --> G["Transferencia fraudulenta Desvio de fundos para rede de money mules"] ``` ## Evolução das Variantes Italianas ```mermaid graph TB subgraph v1["2017-2018 - Variantes Iniciais"] A1["Ursnif/ISFB básico Macros VBA padrao Distribuição via Necurs botnet"] A2["Temas: INPS, bancos Emails em italiano correto Alta taxa de clique"] end subgraph v2["2019 - Evasão Aprimorada"] B1["Cifra de Vigenere Ofuscacao do payload Derrota detecção por assinatura"] B2["Esteganografia Payload em imagens JPEG Contorna filtros de conteudo web"] end subgraph v3["2020-2021 - Anti-Análise"] C1["Anti-VM e Anti-sandbox Verifica ambiente antes de executar infecção"] C2["Ofuscação dinâmica Código muda a cada build Polimorfismo avancado"] end A1 --> B1 A2 --> B2 B1 --> C1 B2 --> C2 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Campanhas de spam imitando INPS, Agenzia delle Entraté e bancos italianos - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Macros VBA para execução do loader com cifra Vigenere - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - Web injection em portais de internet banking italianos - [[t1056-input-capture|T1056 - Input Capture]] - Captura de credenciais bancarias, senhas e códigos OTP - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS com comunicação encriptada - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - Cifra Vigenere e esteganografia para ocultacao de payload - [[t1497-virtualization-sandbox-evasion|T1497 - Virtualization Sandbox Evasion]] - Verificacoes anti-VM e anti-sandbox para evitar análise - [[t1055-process-injection|T1055 - Process Injection]] - Injecao em processos de browser para web injection ## Software Utilizado - [[s0386-ursnif]] - Trojan bancario principal (Gozi/ISFB), versao específica para o mercado italiano com ofuscacao avancada e esteganografia ## Impacto As Ursnif Italy Campaigns causaram danos significativos ao setor bancario italiano durante 5 anos: - Ursnif tornou-se o trojan bancario mais prevalente na Italia durante 2017-2021 - Alvos incluiam usuarios de bancos italianos de varejo (UniCredit, Intesa Sanpaolo, BNL, Poste Italiane) - A impersonacao do INPS foi particularmente eficaz: milhões de italianos aguardavam comúnicacoes sobre beneficios sociais e subsidios governamentais - As técnicas de esteganografia e cifra de Vigenere atrasaram significativamente a criação de assinaturas de detecção - O grupo demonstrou capacidade de adaptar rapidamente o malware em resposta a públicacao de IOCs por pesquisadores - A longevidade (2017-2021) indica um grupo organizado com recursos para desenvolvimento continuo de malware ## Relevância LATAM/Brasil As Ursnif Italy Campaigns sao diretamente relevantes para o contexto brasileiro como espelho do que ocorre no ecossistema de cibercrime nativo: - A impersonacao do INPS italiano e analoga a impersonacao da Receita Federal, INSS e Caixa Economica Federal frequentemente usada em phishing brasileiro - As técnicas de esteganografia para entrega de payload sao cada vez mais usadas por grupos brasileiros de cibercrime para contornar proxies corporativos - O modelo de spam massivo em idioma nativo com temas governamentais e tributarios e o mesmo usado em campanhas de malware bancario no Brasil - Trojans bancarios brasileiros como [[s0531-grandoreiro]] e [[mekotio]] usam web injection analogos ao Ursnif - demonstrando que a técnica e universalmente aplicavel - As lições de detecção (monitorar comportamento de browser, desabilitar macros, sandbox de email) sao diretamente transferiveis para defesa de organizacoes brasileiras ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar execução de macros VBA em documentos Office recebidos de fontes externas - Detectar downloads de imagens JPEG por processos de Office ou loader antes de execução de payload - Alertar sobre modificacao de módulos de browser por processos externos (web injection) - EDR: detectar verificacoes de ambiente (VM artifacts, sandbox indicators) em processos suspeitos - Email gateway: detonar documentos Office em sandbox antes da entrega ao usuario **Mitigacoes:** - Desabilitar macros VBA por padrao em Microsoft Office via Group Policy - Inspecionar conteudo de imagens em proxies web (esteganografia cada vez mais comum) - Implementar EDR com capacidade de detecção comportamental de web injection - Usar autenticação de dois fatores (2FA) em todos os sistemas de internet banking corporativos - Treinamento regular de usuarios sobre reconhecimento de emails phishing de instituicoes governamentais **Mitigacoes MITRE:** [[m1049-antivirus-antimalware|M1049]] · [[m1017-user-training|M1017]] · [[m1021-restrict-web-based-content|M1021]] ## Referências - [1](https://www.yoroi.company/research/ursnif-long-live-the-steganography/) Yoroi - Ursnif: Long Live the Steganography (2020) - [2](https://attack.mitre.org/software/S0386/) MITRE ATT&CK - Ursnif S0386 (2023) - [3](https://www.certego.net/en/news/italian-cyber-espionage-campaign-uses-ursnif-malware/) Certego - Italian Cyber Espionage Campaign Uses Ursnif (2019) - [4](https://www.secureworks.com/blog/ursnif-banking-trojan-vigenere-obfuscation) SecureWorks - Ursnif Banking Trojan with Vigenere Obfuscation (2019) - [5](https://blog.talosintelligence.com/ursnif-italy-campaign-analysis/) Cisco Talos - Ursnif Italy Campaign Technical Analysis (2021)