javali - RunkIntel

# Javali > Tipo: **malware - Banking Trojan** · Familia: Tétrade · [Kaspersky Securelist](https://securelist.com/the-tetrade-brazilian-banking-malware/97779/) ## Visão Geral [[s0528-javali|Javali]] e um trojan bancario brasileiro desenvolvido pela operação criminosa conhecida como **Tétrade** - o mesmo grupo responsavel pelos trojans [[s0531-grandoreiro|Grandoreiro]], [[guildma|Guildma]] (Astaroth) e **Melcoz**. Ativo desde novembro de 2017, o Javali e uma das quatro familias bancarias brasileiras que expandiram suas operações para alem da América Latina, atingindo alvos no Mexico, Espanha e Portugal. Sua caracteristica distintiva e o uso de **arquivos grandes** para evasão de antivirus (bloating), **DLL sideloading** abusando de binarios legitimos da Avira, McAfee, VMware e Adobe, e o armazenamento de configuração em **Google Docs** para facilitar a atualização remota. O código central e escrito em **Delphi** - linguagem preferida pelos desenvolvedores de banking trojans brasileiros - com downloaders em VBScript e JScript. A cadeia de infecção e multi-estagio por design: cada componente e responsavel por uma tarefa específica, dificultando análise forense e aumentando a resiliencia operacional do malware. O Javali monitora processos de browsers (Firefox, Chrome, IE, Edge) e aplicações bancarias customizadas, apresentando jánelas overlay falsas para captura de credenciais quando detecta que a vitima acessa um portal financeiro. **Plataformas:** Windows ## Como Funciona O ciclo de vida do Javali combina técnicas modernas de evasão com capacidades tradicionais de banking trojan: 1. **Vetor inicial (MSI com VBScript)**: email de phishing entrega um MSI (Microsoft Installer) com VBScript embutido que baixa da nuvem o loader/injector 2. **Configuração em Google Docs**: ao executar, o Javali busca configuração atualizada em documentos Google Cloud, permitindo atualização remota dos alvos sem recompilacao 3. **DLL sideloading**: injeta payload Delphi abusando de vulnerabilidades de DLL hijacking em binarios assinados e confiados pelo sistema (Avira, VMware, NVIDIA, HP) 4. **Monitor de jánelas**: loop continuo verificando titulos de processos abertos contra lista hardcoded de bancos, exchanges de criptomoedas (Bittrex) e plataformas de pagamento (Mercado Pago) 5. **Overlay e coleta**: quando alvo detectado, lança jánela falsa sobreposta ao browser ou aplicação real, coletando credenciais via keylog e screenshot ## Attack Flow ```mermaid graph TB A["📧 Phishing Email Anexo ou link MSI Tema fiscal / financeiro"] --> B["📥 MSI + VBScript Download de cloud AWS / Google Cloud / MediaFire"] B --> C["⚙️ Loader Delphi DLL sideloading Binarios Avira VMware NVIDIA T1574.002"] C --> D["☁️ Config via Google Docs Lista de bancos alvo Atualização remota"] D --> E["🔍 Monitor de processos Firefox Chrome IE Edge Apps bancarias customizadas"] E --> F["🪤 Window overlay Jánela falsa sobre portal Captura credenciais T1185 Keylog T1056.001"] F --> G["📤 Exfiltração para C2 Credenciais + screenshots Vitimas no Brasil e Mexico"] classDef delivery fill:#e74c3c,color:#fff classDef download fill:#e67e22,color:#fff classDef load fill:#3498db,color:#fff classDef config fill:#27ae60,color:#fff classDef monitor fill:#16a085,color:#fff classDef overlay fill:#c0392b,color:#fff classDef exfil fill:#9b59b6,color:#fff class A delivery class B download class C load class D config class E monitor class F overlay class G exfil ``` ## Timeline de Atividade ```mermaid timeline title Javali - Historico e Expansao 2017 : Primeiro avistamento - novembro Brasil e Mexico inicialmente 2018 : Cybereason documenta campanhas bancarias brasileiras 60+ bancos alvo 2020 : Kaspersky publica Tetrade Javali confirmado na familia Expansao para Espanha e Portugal 2021 : Campanha Mexico em destaque DLL hijacking Avira documentado Criptomoedas alvo (Bittrex) 2024 : Ressurgimento documentado Mercado Pago alvo confirmado Continua ativo no Brasil 2025 : Honeynet Prague documenta Javali entre principais trojans LATAM ativos ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Phishing | [[t1566-phishing\|T1566]] | Email com MSI malicioso | | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Execução de DLL maliciosa | | DLL Sideloading | [[t1574-002-dll-sideloading\|T1574.002]] | Abuso de Avira, VMware, NVIDIA | | Process Injection | [[t1055-process-injection\|T1055]] | Injecao do payload Delphi | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Overlay sobre sessao bancaria | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais | | Screen Capture | [[t1113-screen-capture\|T1113]] | Screenshots da sessao | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Multiplas camadas / arquivo grande | | System Checks | [[t1497-001-system-checks\|T1497.001]] | Verificação de VM e geoloc | | Credentials from Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Coleta de credenciais salvas | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e LATAM > **Javali** é parte do ecossistema **Tétrade** — o grupo de desenvolvedores brasileiros que a Kaspersky descreveu como "preparados para conquistar o mundo". Com origem e operação no Brasil, o Javali já expandiu para **México, Espanha e Portugal**. O alvo do **Mercado Pago** — maior plataforma de pagamentos da LATAM — representa risco direto para dezenas de milhões de usuários brasileiros e mexicanos. A estratégia de configuração via **Google Docs** torna o tráfego malicioso virtualmente indistinguível de comunicação legítima em firewalls tradicionais. O Javali e parte do ecossistema Tétrade - o grupo de desenvolvedores brasileiros de banking trojans que Kaspersky descreveu como "preparados para conquistar o mundo". A origem e operação brasileira do Javali nao impedem que seus alvos incluam usuarios mexicanos e europeus: os criminosos recrutam afiliados locais para gerenciar fundos roubados e realizar traducoes, enquanto o malware em si e distribuido por email com TLDs específicos das regioes alvo. A estratégia de armazenar configuração em Google Docs demonstra criatividade operacional: usar infraestrutura de confiança (Google) como canal de C2 torna o trafico malicioso virtualmente indistinguivel de comunicação legitima em firewalls tradicionais. O alvo do Mercado Pago - maior plataforma de pagamentos da LATAM - representa risco direto para dezenas de milhões de usuarios brasileiros e mexicanos. ## Detecção e Defesa **Indicadores de comprometimento comportamental:** - **Sysmon ID 7 (ImageLoaded):** DLLs carregadas a partir de diretorios de usuario ou temporarios por processos legitimos da Avira ou VMware - sinal de DLL sideloading - **Sysmon ID 3 (NetworkConnect):** Conexoes de processos Office ou explorer.exe para Google APIs (`docs.google.com`, `drive.google.com`) imediatamente após execução de MSI - busca de configuração - **Comportamental:** Processo em Delphi criando threads para monitoramento de titulos de jánelas em loop continuo **Mitigacoes:** - Auditar e atualizar versoes de software legitimo (Avira, VMware) para corrigir vulnerabilidades de DLL hijacking conhecidas - Implementar application whitelisting para bloquear carregamento de DLLs nao assinadas por processos de segurança - Bloquear download de MSI de fontes externas a nivel de email gateway e web proxy - Monitorar acessos a Google Docs por aplicações nao-browser em ambiente corporativo ## Referências - [Kaspersky Securelist - The Tetrade: Brazilian Banking Malware](https://securelist.com/the-tetrade-brazilian-banking-malware/97779/) - [RedPacket Security - Javali Weaponizing Avira](https://www.redpacketsecurity.com/latin-american-javali-trojan-weaponizing-avira-antivirus-legitimate-injector-to-implant-malware/) - [Cybereason - Brazilian Financial Malware Targets Europe](https://www.cybereason.com/blog/research/brazilian-financial-malware-banking-europe-south-america) - [ESET - LATAM Financial Cybercrime Whitepaper](https://web-assets.esetstatic.com/wls/en/papers/white-papers/ESET_LATAM_financial_cybercrime.pdf) - [Honeynet Prague - Banking Trojans LATAM 2025](https://prague2025.honeynet.org/2025-THP-Gonzalez.pdf)