amavaldo - RunkIntel

# Amavaldo > Tipo: **banking trojan** · Familia Tetrade LATAM · [ESET WeLiveSecurity](https://www.welivesecurity.com) > [!danger] Trojan Bancario Brasileiro - Familia LATAM > Amavaldo e um dos 11 banking trojans latino-americanos identificados pela ESET em 2019-2021. Originario do Brasil, parte de um ecossistema criminoso coordenado que compartilha TTPs, algoritmos de criptografia e cadeias de distribuição com familias como [[casbaneiro|Casbaneiro]], [[mekotio|Mekotio]], [[vadokrist|Vadokrist]] e [[s0531-grandoreiro|Grandoreiro]]. ## Visão Geral [[amavaldo|Amavaldo]] e um banking trojan de origem **brasileira**, escrito em **Delphi**, identificado pela ESET como uma das 11 familias distintas de trojans bancarios latino-americanos que operam de forma coordenada. Foi a primeira familia a ser públicamente descrita na serie de pesquisas da ESET sobre cibercrime financeiro na América Latina, públicada em agosto de 2019. Amavaldo foca seus ataques principalmente em clientes de bancos brasileiros e mexicanos. Diferente de outros trojans da regiao, usa uma técnica sofisticada de ataque: após detectar uma jánela bancaria, captura um screenshot do desktop e o define como papel de parede. Em seguida, exibe uma jánela pop-up falsa que bloqueia qualquer interação fora dela, forcando a vitima a inserir credenciais e informações bancarias sensiveis. **Caracteristicas distintas:** - Esquema customizado de criptografia de strings denominado **TripleKey**, compartilhado com [[casbaneiro|Casbaneiro]] e [[vadokrist|Vadokrist]] - Injetor DLL identico ao usado pelo Vadokrist para descriptografar e executar o trojan - Uso do mesmo obfuscador PowerShell compartilhado com Casbaneiro - Captura de webcam da vitima como parte do processo de coleta de evidências - Restricao ativa de acesso a determinados sites bancarios **Relevância LATAM/Brasil:** O Amavaldo integra o maior ecossistema de cooperação entre autores de malware documentado na América Latina. Os grupos por tras destas 11 familias compartilham TTPs, algoritmos de criptografia identicos, e cadeias de distribuição comuns - indicando coordenacao ativa, nao simples inspiracao mutua. Bancos brasileiros e mexicanos sao alvos primarios. ## Como Funciona ### Arquitetura Técnica Amavaldo e desenvolvido em **Delphi** e executa um fluxo de ataque tipico dos banking trojans latino-americanos, porém com algumas caracteristicas proprias: **Criptografia TripleKey:** O Amavaldo utiliza um algoritmo de criptografia customizado denominado TripleKey para proteger suas strings internas, payloads e configuracoes remotas. Este mesmo algoritmo e compartilhado com [[casbaneiro|Casbaneiro]] e [[vadokrist|Vadokrist]] - evidência de cooperação direta entre os grupos autores. **Ataque de Screenshot-Wallpaper:** Após detectar que a vitima abriu um aplicativo ou site bancario alvo: 1. Captura screenshot do desktop inteiro 2. Define o screenshot como novo papel de parede (wallpaper) 3. Exibe jánela pop-up falsa sobre a imagem congelada 4. A vitima ve o que parece ser a tela real com o banco aberto 5. O pop-up solicita credenciais, tokens e códigos de autenticação **Funcionalidades de backdoor:** - Captura de screenshots em tempo real - Fotografar vitima via webcam integrada - Keylogging de todos os toques de teclado - Simulacao de cliques de mouse e entradas de teclado - Restricao de acesso a sites bancarios (fechar browser ao tentar acessar) - Reinicializacao da maquina **Persistência:** - Modifica chave de registro Run para execução no boot - Usa pasta Startup como fallback **Distribuição:** Distribuido principalmente via spam com PDFs maliciosos. O arquivo PDF disfarca executavel que ao ser aberto inicia cadeia de infecção com MSI (Microsoft Installer) ou scripts VBScript/JavaScript. **DLL Side-loading:** O trojan e carregado via DLL side-loading - método preferido entre os trojans LATAM. Um executavel legitimo e assinado carrega a DLL maliciosa do Amavaldo através da vulnerabilidade de busca de ordem de DLL do Windows. ## Attack Flow ```mermaid graph TB A["📧 Spam com PDF Malicioso Isca de fatura ou recibo Idioma: Portugues ou Espanhol"] --> B["📄 Abertura do PDF Execução de script embutido VBScript ou JavaScript"] B --> C["📦 Download MSI Instalador malicioso Baixado de servico cloud"] C --> D["🔄 DLL Side-Loading App legitimo carrega DLL maliciosa Amavaldo"] D --> E["🔑 Persistência Run key no Registro ou pasta Startup"] E --> F["👁️ Monitoramento de Jánelas Aguarda app ou site bancario ser aberto"] F --> G["📸 Screenshot + Wallpaper Captura tela e define como papel de parede"] G --> H["🪟 Pop-up Falso Jánela sobreposicao de banco Bloqueia interação real"] H --> I["🔐 Captura de Credenciais Login, senha, token 2FA Dados enviados ao C2"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef loader fill:#e67e22,stroke:#d35400,color:#fff classDef persist fill:#f39c12,stroke:#d68910,color:#fff classDef monitor fill:#2980b9,stroke:#1a5276,color:#fff classDef overlay fill:#c0392b,stroke:#922b21,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A,B phishing class C,D loader class E persist class F,G monitor class H overlay class I exfil ``` ## Linha do Tempo ```mermaid timeline title Evolução do Amavaldo 2019 : Primeira identificação publica pela ESET : Alvos: Brasil e Mexico : Ataque por screenshot-wallpaper descrito 2020 : Conferencia Virus Bulletin VB2020 : ESET publica whitepaper sobre 11 familias LATAM : Cooperação entre grupos confirmada 2021 : ESET conclui serie de pesquisas LATAM : Amavaldo confirmado ativo junto com outras 7 familias : Expansao para Espanha observada em outras familias do ecossistema 2022 : Familia continua ativa em telemetria ESET : Injetor DLL compartilhado com Vadokrist documentado ``` | Período | Evento | |---------|--------| | Ago/2019 | ESET pública primeira análise pública do Amavaldo na serie LATAM banking trojans | | Out/2020 | Whitepaper ESET "LATAM Financial Cybercrime: Competitors-in-crime sharing TTPs" - documenta cooperação entre 11 familias | | Ján/2021 | ESET documenta Vadokrist usando injetor DLL identico ao do Amavaldo | | Dez/2021 | ESET conclui serie - Amavaldo confirmado entre as 8 familias ainda ativas | ## TTPs Mapeados | Tática | Técnica | Uso pelo Amavaldo | |--------|---------|-------------------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spam com PDF malicioso ou link para MSI | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa MSI distribuido por email | | Execution | [[t1059-005-visual-basic\|T1059.005]] | VBScript na cadeia de distribuição | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Entrada Run no Registro para inicializacao | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | App legitimo carrega DLL maliciosa Amavaldo | | Defense Evasion | [[t1027-001-binary-padding\|T1027.001]] | Binary padding para evadir sandboxes | | Defense Evasion | [[t1140-deobfuscate-decode-files\|T1140]] | Payload e strings criptografados com TripleKey | | Discovery | [[t1010-application-window-discovery\|T1010]] | Monitoramento de jánelas de bancos e emails | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de nome do computador e versao Windows | | Collection | [[t1113-screen-capture\|T1113]] | Screenshot antes do ataque overlay (wallpaper trick) | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging para captura de credenciais | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 | ## Relevância LATAM/Brasil > [!warning] Ecossistema de Cooperação LATAM > O Amavaldo nao e um malware isolado. Faz parte de um ecossistema de pelo menos 11 familias de banking trojans que compartilham TTPs, código e infraestrutura. A ESET identificou: o mesmo algoritmo de criptografia em 6 familias distintas; cadeias de distribuição identicas distribuindo diferentes trojans; e o mesmo injetor DLL usado por Amavaldo, Casbaneiro, Mekotio e Vadokrist. > [!tip] Alvos Principais no Brasil > - Clientes de bancos brasileiros: Bradesco, Itau, Banco do Brasil, Caixa Economica Federal, Santander > - Clientes de bancos mexicanos (campanhas em Espanhol) > - Lures tipicos: faturas, boletos, documentos fiscais em Portugues **Setores impactados:** - [[financial|Financeiro]] - bancos de varejo brasileiros e mexicanos - [[government|Governo]] - documentos fiscais usados como isca ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **DLL Side-Loading:** Monitorar processos assinados e legitimos carregando DLLs nao assinadas de diretorios nao-padrao > - **Wallpaper Modification:** Alertar para modificacoes rapidas de papel de parede do sistema (`SystemParametersInfo` com `SPI_SETDESKWALLPAPER`) seguidas de exibicao de jánela pop-up > - **Webcam Access:** Monitorar acesso inesperado a dispositivo de camera por processos nao-autorizados > - **TripleKey Pattern:** YARA rules específicas para o algoritmo TripleKey identificado pela ESET > - **MSI Execution:** Monitorar `msiexec.exe` baixando arquivos de servicos cloud nao-corporativos > - **Registry Persistence:** Detectar criação de chaves Run por processos originados de diretorios temporarios **Controles recomendados:** - Bloquear execução de MSI baixado de URLs externas via Group Policy - Habilitar Windows Defender Application Guard para isolamento de email - Implementar [[m1038-execution-prevention|M1038]] - restricao de execução de scripts VBScript - [[m1017-user-training|M1017]] - treinamento de usuarios sobre isca de PDFs maliciosos ## Referências - [1](https://www.welivesecurity.com/2019/08/08/first-steps-inside-cybergang-amavaldo/) ESET WeLiveSecurity - Amavaldo: First steps inside a cybergang (2019) - [2](https://web-assets.esetstatic.com/wls/en/papers/white-papers/ESET_LATAM_financial_cybercrime.pdf) ESET - LATAM Financial Cybercrime: Competitors-in-crime sharing TTPs (2020) - [3](https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/) ESET WeLiveSecurity - The dirty dozen of Latin América: From Amavaldo to Zumanek (2021) - [4](https://www.welivesecurity.com/2021/01/21/vadokrist-wolf-sheeps-clothing/) ESET WeLiveSecurity - Vadokrist: A wolf in sheep's clothing (2021) - [5](https://vblocalhost.com/uploads/VB2020-Soucek-Jirkal.pdf) Virus Bulletin 2020 - LATAM financial cybercrime: competitors-in-crime sharing TTPs (2020)