# DoppelDridex > Tipo: **banking-trojan** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[doppeldridex|DoppelDridex]] é uma variante do famoso trojan bancário [[s0384-dridex|Dridex]], desenvolvida e operada pelo grupo [[g0119-indrik-spider|Evil Corp]] após a separação de membros que formaram o DoppelPaymer ransomware. O [[doppeldridex|DoppelDridex]] herda as capacidades centrais do Dridex - roubo de credenciais bancárias, web injection para interceptação de transações financeiras e funcionalidades de botnet - mas com modificações técnicas que diferem do Dridex original, sugerindo desenvolvimento independente sobre a mesma base de código. O [[doppeldridex|DoppelDridex]] é distribuído primariamente via campanhas de phishing com documentos Word ou Excel maliciosos que executam macros VBA ou exploram vulnerabilidades no Microsoft Office. Após a infecção, o malware estabelece persistência, injeta código em processos legítimos do Windows (como Explorer ou processos de sistema) e inicia comunicação C2. As técnicas de web injection permitem ao malware modificar páginas de internet banking em tempo real no navegador da vítima, capturando credenciais e tokens de autenticação diretamente no ponto de entrada. O [[g0119-indrik-spider|Evil Corp]], operador do [[doppeldridex|DoppelDridex]], foi sancionado pelo Departamento do Tesouro dos EUA em dezembro de 2019, tornando-o um grupo com designação oficial de adversário estrangeiro. O grupo é responsável por centenas de milhões de dólares em perdas financeiras globalmente via trojans bancários e ransomware. Apesar das sanções, o grupo continua operacional sob nomes alternativos e com ferramentas renovadas, demonstrando resiliência operacional notável. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Grupos que Usam - [[g0119-indrik-spider|Evil Corp]] ## Detecção - Detectar macros VBA em documentos Office recebidos por e-mail que executam PowerShell ou CMD ([[t1566-001-spearphishing-attachment|T1566.001]]) - Monitorar injeção de código em processos do sistema por processos não privilegiados - Alertar sobre modificações do DOM em páginas de internet banking via extensões ou processos injetados ([[t1056-001-keylogging|T1056.001]]) - Identificar comúnicações C2 com domínios gerados algoritmicamente (DGA) ([[t1071-001-web-protocols|T1071.001]]) - Monitorar desabilitação de ferramentas de segurança por processos em segundo plano ([[t1562-001-disable-or-modify-tools|T1562.001]]) ## Relevância LATAM/Brasil O [[doppeldridex|DoppelDridex]] e a família [[s0384-dridex|Dridex]] têm impacto documentado no setor financeiro brasileiro. Instituições financeiras brasileiras são alvos de variantes de trojans bancários da família Dridex, adaptadas para interceptar transações no sistema bancário nacional. O modelo de web injection é especialmente eficaz contra os sistemas de internet banking brasileiros, que utilizam interfaces web para transações de alto valor. A combinação de distribuição via phishing em português com injeção em sessões bancárias representa uma ameaça direta ao setor financeiro e aos usuários de internet banking no Brasil. ## Referências - [MITRE ATT&CK - Evil Corp](https://attack.mitre.org/groups/G0119) - [US OFAC - Evil Corp Sanctions](https://home.treasury.gov/news/press-releases/sm845)