# KRBanker > Tipo: **banking-trojan** · [MITRE ATT&CK](https://attack.mitre.org/software/S0276) ## Descrição [[krbanker|KRBanker]] é um trojan bancário identificado em campanhas direcionadas principalmente a usuários de serviços bancários online na Coreia do Sul e outros países da Ásia-Pacífico, com atividade documentada a partir de 2017. O malware visa específicamente interceptar transações bancárias online e roubar credenciais de acesso a contas bancárias, operando como um clássico Man-in-the-Browser (MitB) que modifica páginas bancárias em tempo real para capturar credenciais e contornar autenticação de dois fatores. As capacidades do [[krbanker|KRBanker]] incluem keylogging ([[t1056-001-keylogging|T1056.001]]) direcionado a campos de formulários bancários, roubo de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e execução de comandos remotos ([[t1059-003-windows-command-shell|T1059.003]]). A comunicação com servidores C2 ocorre via HTTP ([[t1071-001-web-protocols|T1071.001]]) com exfiltração das credenciais e dados de sessão pelo canal C2 ([[t1041-exfiltration-over-c2-channel|T1041]]). Persistência é mantida via autorun de registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). A distribuição ocorre via links maliciosos ([[t1204-001-malicious-link|T1204.001]]) em emails de phishing temáticos bancários. O [[krbanker|KRBanker]] representa a categoria de trojans bancários especializados geograficamente, desenvolvidos por grupos de cibercrime com profundo conhecimento dos sistemas bancários locais de seus alvos - incluindo interfaces de internet banking específicas, sistemas de OTP e mecanismos de autenticação regionais. Esta especialização geográfica permite evasão de defesas genéricas e maximiza a taxa de sucesso em fraudes financeiras. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] ## Detecção Detecção do [[krbanker|KRBanker]] e trojans bancários similares foca em hooks de navegador e comportamentos de Man-in-the-Browser. Monitorar: processos injetados em navegadores (Chrome, Firefox, IE/Edge) por código não-assinado; modificação de conteúdo web por extensões ou BHOs não-autorizados; e comúnicações de rede inesperadas de processos de navegador para domínios externos durante sessões bancárias. Extensões de segurança anti-phishing em navegadores e uso de navegadores isolados (modo sanduíche) para acesso a internet banking são controles preventivos eficazes. ## Relevância LATAM/Brasil Embora o [[krbanker|KRBanker]] tenha como alvo primário o mercado coreano, trojans bancários com arquitetura e técnicas similares são amplamente utilizados no Brasil. O Brasil é o país com maior incidência de trojans bancários do mundo, com famílias como Grandoreiro, Javali, Melcoz e Guildma seguindo exatamente o modelo de especialização regional e Man-in-the-Browser do [[krbanker|KRBanker]]. O estudo do [[krbanker|KRBanker]] é diretamente relevante para compreender a categoria de ameaças que mais afeta o setor financeiro brasileiro. ## Referências - [MITRE ATT&CK](https://attack.mitre.org)