ursnif-japan-campaigns

# Ursnif Jápan Campaigns > [!danger] Milhoes de emails maliciosos miram usuarios bancarios jáponeses com Gozi/Ursnif > As **Ursnif Jápan Campaigns** foram uma serie de campanhas de fraude bancaria altamente especializadas para o mercado jápones, ativas entre 2016 e 2020. O malware [[s0386-ursnif|Ursnif/Gozi]], adaptado com módulo anti-PhishWall e emails de phishing em jápones impecavel, tornou-se o trojan bancario dominante no Jápao durante o período. ## Visão Geral As Ursnif Jápan Campaigns destacam-se como um exemplo excepcional de malware bancario adaptado com precisao cultural e linguistica para um mercado específico. O malware [[s0386-ursnif|Ursnif]] (também conhecido como Gozi, ISFB e Papras), originalmente desenvolvido por grupos russos de cibercrime, foi extensivamente modificado para operar eficientemente no mercado jápones - incluindo suporte completo a caracteres jáponeses, conhecimento de bancos locais-alvo, e capacidade de contornar o software de segurança bancaria PhishWall, amplamente usado pelos bancos jáponeses. Em 2016, pesquisadores da Palo Alto Unit 42 documentaram uma campanha de spam massiva usando a botnet Necurs para distribuir o loader [[shiotob|Shiotob]] (também chamado Bebloh ou URLZone), que por sua vez entregava o Ursnif como payload final. A campanha enviou mais de 7 milhões de emails de spam apenas em outubro de 2016, usando temas culturalmente relevantes como notificacoes falsas dos Correios Jáponeses (Jápan Post Service) e faturas de e-commerce. O Ursnif jápones foi adaptado com um módulo anti-PhishWall especialmente desenvolvido: o software PhishWall, desenvolvido pelo SecureBrain e usado por muitos bancos jáponeses como camada adicional de autenticação, detecta e alerta o usuario quando uma conexão de internet banking pode estar sendo manipulada por malware. O Ursnif jápones detectava a presenca do PhishWall e o desabilitava ou contornava silenciosamente, removendo esta camada de proteção sem o conhecimento do usuario. As campanhas continuaram evoluindo entre 2017 e 2020, com novas variantes incluindo técnicas de ofuscacao avancadas e módulos especializados para diferentes bancos jáponeses. A Cybereason documentou em 2019 que o Ursnif jápones havia sido reescrito com novas capacidades de evasão e um motor de web injection atualizado. ## Cadeia de Infecção ```mermaid graph TB A["Email de spam em jápones Imitando Jápan Post Service ou e-commerce jápones"] --> B["Documento Office com macro ou arquivo ZIP com executavel Conteudo culturalmente relevante"] B --> C["Execução do loader Shiotob Primeiro estagio antes do Ursnif Verifica ambiente da vitima"] C --> D["Download e instalacao do payload Ursnif/Gozi Variante específica para Jápao"] D --> E["Detecção e bypass do software PhishWall Camada de segurança dos bancos jáponeses"] E --> F["Web injection ativo Modifica paginas de bancos jáponeses Roubo de credenciais e 2FA"] F --> G["Transferencia fraudulenta Desvio de fundos bancarios para contas de money mules"] ``` ## Adaptacoes para o Mercado Jápones ```mermaid graph TB subgraph Adaptacoes["Customizacoes para o Jápao"] A1["Suporte a caracteres jáponeses Kanji, Hiragana, Katakana em emails e web injections"] A2["Anti-PhishWall Módulo específico para desabilitar segurança bancaria jáponesa"] A3["Bancos-alvo jáponeses Web injections customizados para cada banco específico"] A4["Temas culturais Jápan Post, e-commerce jápones Notificacoes governamentais"] end subgraph Resultado["Resultado"] R1["Taxa de infecção elevada Emails convencem usuarios jáponeses que nao suspeitam de portugues/ingles"] R2["Evasão de segurança local PhishWall contornado Sem alertas ao usuario"] end A1 --> R1 A2 --> R2 A3 --> R2 A4 --> R1 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Campanhas de spam massivo em jápones imitando empresas legitimas jáponesas - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Macros VBA em documentos Office para execução do loader Shiotob - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - Web injection em paginas de internet banking jápones - [[t1056-input-capture|T1056 - Input Capture]] - Captura de credenciais bancarias, senhas e códigos de autenticação - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS com comunicação encriptada - [[t1036-masquerading|T1036 - Masquerading]] - Emails e arquivos maliciosos disfarados como comúnicacoes legitimas jáponesas - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - Ofuscacao avancada do Ursnif para evasão de soluções de segurança - [[t1140-deobfuscate-decode-files-or-information|T1140 - Deobfuscaté Files or Information]] - Loader Shiotob descriptografa e executa o Ursnif em memoria ## Software Utilizado - [[s0386-ursnif]] - Trojan bancario principal (Gozi/ISFB), versao específica para o mercado jápones com módulo anti-PhishWall - [[shiotob]] - Loader de primeiro estagio (também chamado Bebloh/URLZone) distribuido via spam Necurs ## Impacto As Ursnif Jápan Campaigns causaram danos significativos ao setor bancario jápones: - **7 milhões** de emails de spam distribuidos em uma única campanha em outubro de 2016 - Ursnif tornou-se o trojan bancario mais prevalente no Jápao durante o período 2016-2020 - Usuarios de bancos jáponeses de varejo (MUFG, SMBC, Mizuho, Jápan Post Bank) foram alvos - O módulo anti-PhishWall removeu uma camada crucial de segurança sem que os usuarios soubessem - A adaptacao linguistica e cultural tornou o phishing eficaz contra usuarios que nao suspeitariam de emails em linguas estrangeiras - A campanha demonstrou que grupos de cibercrime russos investem em localização de malware para mercados específicos de alto valor ## Relevância LATAM/Brasil O Ursnif jápones e relevante para o contexto brasileiro como caso de estudo: - O modelo de localização do Ursnif para o Jápao e analogo ao que grupos brasileiros fazem com trojans bancarios nativos - demonstrando que a especializacao regional e uma estratégia sistematica de cibercrime - O módulo anti-PhishWall e o equivalente jápones das técnicas anti-detection usadas por trojans brasileiros contra soluções de segurança bancaria locais - O [[financial|setor bancario]] brasileiro tem soluções de segurança proprietarias similares ao PhishWall - estas soluções podem ser alvos de módulos de bypass em futuras variantes de malware - Campanhas de spam em portugues brasileiro seguindo o modelo jápones (7M+ emails, temas locais como Correios, Receita Federal) sao plenamente viaveis para grupos de cibercrime - O Ursnif em si também foi documentado em algumas campanhas globais que incluiram enderecos de email brasileiros como alvos ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar execução de loaders suspeitos após abertura de documentos Office (Shiotob antes do Ursnif) - Detectar modificacao ou desativacao de software de segurança bancaria instalado (PhishWall ou equivalente) - Alertar sobre injecao de código em processos de browser (web injection) - Network: detectar comunicação periodica encriptada para dominios de baixa reputacao - Email: detectar emails com anexos .doc/.xls em idiomas estrangeiros com macros habilitadas **Mitigacoes:** - Desabilitar macros VBA por padrao via Group Policy - Usar soluções de email gateway com sandbox - Implementar EDR com detecção de modificacao de processos de browser - Manter soluções de segurança bancaria atualizadas com detecção de bypass conhecidos - Treinamento de usuarios sobre reconhecimento de phishing mesmo em idioma nativo **Mitigacoes MITRE:** [[m1049-antivirus-antimalware|M1049]] · [[m1017-user-training|M1017]] · [[m1031-network-intrusion-prevention|M1031]] ## Referências - [1](https://unit42.paloaltonetworks.com/shifu-malware-targeting-jápanese-banks-and-other-financial-institutions/) Palo Alto Unit 42 - Ursnif/Shiotob Jápan Campaigns Analysis (2016) - [2](https://attack.mitre.org/software/S0386/) MITRE ATT&CK - Ursnif S0386 (2023) - [3](https://www.cybereason.com/blog/ursnif-the-multifaceted-malware) Cybereason - Ursnif: The Multifaceted Malware (2019) - [4](https://blog.trendmicro.com/trendlabs-security-intelligence/ursnif-banking-trojan-jápan/) Trend Micro - Ursnif Banking Trojan Targets Jápan (2017) - [5](https://www.secureworks.com/research/goldfinch-gozi-campaigns-jápan) SecureWorks - Gozi/Ursnif Campaigns Targeting Jápan (2018)