# P2P ZeuS > Tipo: **malware** · S0016 · [MITRE ATT&CK](https://attack.mitre.org/software/S0016) ## Visão Geral **P2P ZeuS** (também conhecido como Gameover ZeuS) é um trojan bancário de segunda geração derivado do código-fonte vazado do [[zeus|ZeuS]], com arquitetura peer-to-peer que eliminou servidores centrais de C2 — tornando operações de takedown extremamente difíceis. Foi responsável por centenas de milhões de dólares em fraudes bancárias globais e serviu como plataforma de distribuição do ransomware [[cryptolocker|CryptoLocker]]. O botnet foi desmantelado em 2014 pela **Operação Tovar**, coordenação histórica entre FBI, Europol e empresas como [[crowdstrike|CrowdStrike]], [[symantec|Symantec]] e [[microsoft|Microsoft]]. No Brasil e na [[brasil|América Latina]], o legado técnico do P2P ZeuS influenciou diretamente o desenvolvimento de trojans bancários como [[grandoreiro|Grandoreiro]], [[guildma|Guildma]] e [[brata|BRATA]]. ## Descrição [[s0016-p2p-zeus|P2P ZeuS]] é um fork de código fechado da versão vazada do botnet ZeuS, também conhecido como Gameover ZeuS. Apresenta melhorias significativas em relação à versão vazada, incluindo uma arquitetura peer-to-peer descentralizada que elimina pontos únicos de falha na infraestrutura de C2. Sem um servidor central, é extremamente difícil derrubar o botnet simplesmente apreendendo servidores. O P2P ZeuS foi responsável por perdas financeiras estimadas em centenas de milhões de dólares através de fraude bancária online, e também foi utilizado como vetor para distribuição do ransomware CryptoLocker. O botnet foi desmantelado pela Operação Tovar em 2014, uma ação coordenada entre o FBI, Europol e empresas de segurança privadas - um marco histórico na cooperação internacional contra cibercrime. A arquitetura P2P do malware adicionava dados de lixo às comúnicações de rede (junk data) para dificultar a identificação e bloqueio do tráfego malicioso por sistemas de detecção baseados em assinaturas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1001-001-junk-data|T1001.001 - Junk Data]] ## Detecção - Analisar tráfego P2P em redes corporativas em busca de padrões característicos do Zeus (portas altas, tráfego cifrado não-TLS) - Bloquear comúnicações com IPs/domínios associados à infraestrutura histórica do Gameover ZeuS - Monitorar injeção de código em processos de navegador (técnica de form-grabbing do ZeuS) - Implementar autenticação multifator em sistemas bancários online para mitigar roubo de credenciais ## Relevância LATAM/Brasil O ZeuS e suas variantes foram amplamente utilizados em fraudes bancárias na América Latina, com o Brasil historicamente figurando entre os países mais afetados por trojans bancários derivados desta família. A linhagem técnica do ZeuS influenciou diretamente o desenvolvimento de trojans bancários brasileiros como Guildma, Grandoreiro e BRATA, que adaptaram conceitos do ZeuS para o contexto de internet banking brasileiro. O legado do P2P ZeuS continua presente no ecossistema de ameaças financeiras da região. ## Referências - [MITRE ATT&CK - S0016](https://attack.mitre.org/software/S0016)