# TA544 > [!warning] Resumo Executivo > TA544 (também rastreado como **Narwhal Spider**, **Gold Essex** e "Ursnif Gang") e um ator de ameaça financeiramente motivado com foco historico na Italia e Jápao, ativo desde pelo menos 2017. O grupo ficou conhecido por campanhas massivas de [[s0386-ursnif|Ursnif/Gozi]] contra bancos italianos - usando geofencing para garantir infecção exclusiva em alvos na regiao correta. Em 2023, demonstrou evolução significativa: abandonou o Ursnif em favor de **HijackLoader (IDAT Loader)** com DLL sideloading, entregando [[s0332-remcos|Remcos RAT]] e [[s0533-systembc|SystemBC]], sinalizando transicao de banking trojan para **Initial Access as a Service (IAaaS)**. ## Visão Geral **TA544** e um dos grupos criminosos europeus mais consistentes e documentados em campanhas de banking malware. Com historico de 8+ anos de operações contínuas, o grupo demonstra notavel longevidade e capacidade de adaptacao. ### Fases de Evolução 1. **2017-2022 - Era Ursnif**: Decenas de campanhas massivas contra organizacoes italianas. Uso de geofencing para entregar Ursnif apenas para IPs italianos. Web injects em portais bancarios (UniCredit, BNL, ING, PayPal, Amazon). Campanha IDs continham referências em italiano como indicador de atribuicao. 2. **2023 - Transicao TTPs**: Abandono do Ursnif em favor de HijackLoader (IDAT Loader). Novo vetor: URL maliciosa -> URL file -> sideloading via DLL. Entrega de [[s0332-remcos|Remcos RAT]] e [[s0533-systembc|SystemBC]] como novos payloads. 3. **2023-presente - IAaaS Model**: Yoroi avalia que TA544 esta se especializando em **Initial Access as a Service** - vendendo acesso a redes comprometidas para outros operadores, semelhante a outros IABs. O Ursnif original evoluiu de banking trojan para backdoor para Human Operated intrusions. O grupo usou geofencing de forma pioneira e sofisticada - se o usuario nao esta na regiao correta, o C2 redireciona para um site adulto, tornando análise externa muito dificil. ## Diagrama de Kill Chain ```mermaid graph TB A["📧 Phishing Email<br/>Impersonando courier/energia<br/>IT com anexo Office T1566.001"] --> B["📄 Macro Maliciosa<br/>Excel 4.0 XLM macro<br/>Escrita em italiano T1059.005"] B --> C["🌍 Geofencing Check<br/>IP Check no servidor<br/>Nao IT/JP? Adult site"] C --> D["💻 Ursnif Deploy<br/>DLL via regsvr32<br/>Ou HijackLoader T1027"] D --> E["🏦 Web Injects<br/>Código malicioso em<br/>browser para bancos"] E --> F["💰 Data Theft<br/>Credenciais bancarias<br/>Cartao de credito"] style A fill:#1a5276,color:#fff style B fill:#154360,color:#fff style C fill:#0e2d4a,color:#fff style D fill:#7b241c,color:#fff style E fill:#922b21,color:#fff style F fill:#6c3483,color:#fff ``` ## Timeline ```mermaid timeline title TA544 - Evolução 2017-2025 2017-2019 : Surgimento e primeiras campanhas : Ursnif contra bancos italianos : Técnicas de macro Excel 2020-2021 : Pico de atividade : 500k+ mensagens em Italia : 20+ campanhas documentadas : Web injects em 10+ bancos IT 2022 : Campanhas continuadas Italia : Dridex em outros paises (sem geofencing) : Powershell + steganografia Nov 2023 : Mudanca de TTP significativa : HijackLoader substitui Ursnif : Remcos RAT + SystemBC : DLL sideloading como novo vetor 2024-2025 : Modelo IAaaS emergente : Campanhas continuadas : Vendor Yoroi: especializando em acesso inicial ``` ## Campanhas Documentadas | Campanha | Ano | Alvo | Payload | Técnica | |----------|-----|------|---------|---------| | Campanha BRT Courier | 2021 | Italia - todas empresas | [[s0386-ursnif\|Ursnif]] | Excel macro geofenced | | Campanha Energia IT | 2021 | Italia - setor energia | [[s0386-ursnif\|Ursnif]] | Documento geofenced | | Web Injects UniCredit/BNL | 2021 | Usuarios bancarios IT | [[s0386-ursnif\|Ursnif]] web injects | Banking trojan | | HijackLoader Pivot | Nov 2023 | Italia | HijackLoader + [[s0332-remcos\|Remcos]] | URL file + sideloading | ## Arsenal | Ferramenta | Categoria | Notas | |-----------|-----------|-------| | [[s0386-ursnif\|Ursnif / Gozi]] | Banking Trojan | Principal por 6 anos; evolução constante de TTPs | | [[s0384-dridex\|Dridex]] | Banking Trojan | Campanhas sem geofencing (outros paises) | | HijackLoader / IDAT Loader | Loader | Substituiu Ursnif em 2023; usa DLL sideloading | | [[s0332-remcos\|Remcos RAT]] | RAT | Novo payload pos-transicao 2023 | | [[s0533-systembc\|SystemBC]] | Proxy / Backdoor | Observado brevemente como payload alternativo | ## TTPs Detalhados ### Acesso Inicial - **Email phishing com documentos**: Impersonam organizacoes italianas conhecidas (couriers como BRT, empresas de energia) solicitando pagamentos ([[t1566-001-spearphishing-attachment|T1566.001]]) - **Documentos Excel com macro**: Macro 4.0 XLM (legacy mas ainda funcional) escrita em italiano - sinal de targeting regional ([[t1059-005-visual-basic|T1059.005]]) ### Evasão e Geofencing - **Geofencing server-side**: C2 verifica IP do usuario antes de entregar payload; IPs fora da Italia (ou Jápao) recebem redirect para site adulto ou benigno - **Password-protected documents**: Documentos protegidos com senha listada no email - impede análise automatica de AV/sandbox ([[t1027-obfuscated-files|T1027]]) - **DLL sideloading (2023+)**: Carregamento de DLL maliciosa via executavel legitimo para evadir detecção ([[t1574-002-dll-side-loading|T1574.002]]) ### Web Injects (Era Ursnif) - Código injetado no browser captura credenciais em portais bancarios - Web injects em: UniCredit, BNL, ING, Banca Sella, CheBanca, IBK, PayPal, Amazon, eBay - VNC conexoes para acesso remoto silencioso - Proxy config para interceptar sessao bancaria ### Exfiltração e Pos-infecção - [[s0533-systembc\|SystemBC]] como proxy para exfiltração e comunicação C2 anonima ([[t1071-001-web-protocols|T1071.001]]) - [[s0332-remcos\|Remcos RAT]] para acesso remoto completo e keylogging - Staging de dados localmente antes de exfiltração ([[t1074-001-local-data-staging|T1074.001]]) ## Relevância para o Brasil e LATAM TA544 tem **relevância indireta mas crescente** para o Brasil: 1. **Modelo em evolução**: A transicao para IAaaS significa que o grupo pode operar campanhas para qualquer contratante - incluindo grupos focados em LATAM 2. **Precedente em banca**: Historico extenso contra bancos europeus demonstra capacidade que pode ser adaptada para targets brasileiros (Itau, Bradesco, Santander) 3. **Dridex sem geofencing**: Campanhas de [[s0384-dridex|Dridex]] do grupo nao tem restricao geografica - organizacoes brasileiras podem ser atingidas 4. **Técnicas reutilizaveis**: Excel 4.0 macros e DLL sideloading sao TTPs frequentes em campanhas contra Brasil 5. **Conexão europeia**: Com [[setor-financeiro|setor financeiro]] europeu altamente integrado a LATAM, comprometimentos de bancos europeus afetam operações brasileiras ## Detecção | Indicador / Comportamento | Técnica | |---------------------------|---------| | Macro Excel 4.0 (XLM) com strings em italiano | T1059.005 | | DLL carregada por processo legitimo via sideloading | T1574.002 | | regsvr32 executando DLL de %TEMP% | T1218.010 | | Requisicao HTTP a "DropUrl" (site comprometido) imediatamente pos-macro | T1071.001 | | Web inject em processo do browser (injecao de módulo) | T1055 | | Conexão C2 Ursnif (PNG download, HTTP com User-Agent específico) | T1071.001 | | URL file (.url) baixado e executado imediatamente | T1204.002 | ## Referências - [1](https://www.proofpoint.com/us/blog/security-briefs/ta544-targets-italian-organizations-ursnif-malware) Proofpoint - TA544 Ursnif Campanhas Italia 2021 - [2](https://yoroi.company/en/research/innovation-in-cyber-intrusions-the-evolution-of-ta544/) Yoroi - Evolução TA544: HijackLoader e Remcos (2023) - [3](https://securityaffairs.com/122875/malware/ta544-ursnif-campaigns-italy.html) Security Affairs - TA544 Spike em Campanhas Ursnif - [4](https://www.hackread.com/ta544-threat-actors-italy-ursnif-banking-trojan/) HackRead - TA544 Web Injects contra Bancos Italianos