# Metamorfo > Tipo: **malware** · S0455 · [MITRE ATT&CK](https://attack.mitre.org/software/S0455) ## Descrição [[s0455-metamorfo|Metamorfo]] é um trojan bancário latino-americano operado por um grupo cibercriminoso brasileiro ativo desde pelo menos abril de 2018. O grupo foca em atingir bancos e serviços de criptomoedas no Brasil e no México. **Plataformas:** Windows ## Attack Flow ```mermaid graph TB A["📧 Malspam / Phishing<br/>Anexo HTML ou link<br/>temática fiscal/financeira"] --> B["🗜️ ZIP com HTA/MSI<br/>Geofenceado por país<br/>Bloqueia IPs fora do alvo"] B --> C["⚙️ MSI Installer<br/>CustomAction executa VBS<br/>DLL maliciosa embutida"] C --> D["🔄 DLL Hijacking<br/>App legítimo carrega DLL<br/>Avira/AVG/NVIDIA/Steam"] D --> E["🔍 Anti-Análise<br/>Verifica locale pt-BR<br/>Mutex + detecção de AV"] E --> F["🏦 Banking Trojan<br/>Keylog + overlay falso<br/>Foca bancos BR e MX"] F --> G["📤 Exfiltração C2<br/>Dados bancários e senhas<br/>via protocolo cifrado"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef exec fill:#e67e22,stroke:#d35400,color:#fff classDef evasion fill:#27ae60,stroke:#1e8449,color:#fff classDef impact fill:#8e44ad,stroke:#7d3c98,color:#fff class A,B delivery class C,D exec class E evasion class F,G impact ``` **Relevância LATAM/Brasil:** O [[s0455-metamorfo|Metamorfo]] é operado por um grupo cibercriminoso de origem brasileira e tem como alvos primários instituições bancárias e exchanges de criptomoedas no Brasil e no México. Representa uma das ameaças financeiras mais relevantes originadas na região. ## Técnicas Utilizadas - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1106-native-api|T1106 - Native API]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] ## Relevância para o Brasil e LATAM > [!danger] Impacto Regional > O Metamorfo (também rastreado como **Casbaneiro** e **Ponteiro**) é operado por um grupo cibercriminoso de **origem brasileira** ativo desde pelo menos abril de 2018, com foco primário em instituições bancárias e exchanges de criptomoedas no **Brasil e México**. Bitdefender documentou mais de **5.188 infecções confirmadas no Brasil** em uma única campanha analisada. Uma característica diagnóstica crítica: a DLL maliciosa verifica se o computador está **configurado com locale brasileiro (pt-BR)** antes de executar - se não estiver, encerra silenciosamente, demonstrando o targeting cirúrgico contra usuários brasileiros. Em 2024, operadores do Metamorfo/Casbaneiro experimentaram um **downloader em Rust** - sinalização de evolução técnica acelerada. O malware também é rastreado como componente de campanhas do [[water-saci|Water Saci]] via WhatsApp no Brasil em 2025. > [!warning] Setores Alvo > - **Setor bancário brasileiro e mexicano**: Overlays falsos imitam notificações de segurança de grandes bancos brasileiros (Bradesco, Itaú, Caixa, Sicoob, Sicredi) e mexicanos para captura de credenciais durante sessões bancárias ativas > - **Exchanges de criptomoedas**: O Metamorfo inclui módulo dedicado de monitoramento de exchanges e carteiras cripto, substituindo endereços copiados na área de transferência pelos do atacante (clipboard hijacking) > - **Usuários corporativos Windows no Brasil**: O uso de DLL hijacking em aplicativos confiáveis (Avira, AVG, NVIDIA, Steam) faz com que o malware execute dentro de processos com assinatura digital válida, enganando controles de segurança corporativa > [!tip] Recomendações > - **Monitorar DLL hijacking em aplicativos legítimos**: Detectar carregamento de DLLs não esperadas em processos de Avira, AVG, NVIDIA e Steam - padrão de ataque central do Metamorfo > - **Controle de locale em endpoints**: Embora o malware verifique locale pt-BR, não alterar configurações regionais como medida de segurança; em vez disso, usar essa assinatura para detecção comportamental em EDR > - **Proteger área de transferência**: Implementar proteção de clipboard em soluções de segurança financeira para detectar substituição de endereços cripto e bancários > - **Bloquear instalação de MSI de fontes não corporativas**: O vetor inicial de muitas campanhas Metamorfo é um MSI installer distribuído via phishing - políticas de AppLocker ou WDAC reduzem significativamente a superfície de ataque > - **Monitorar processos `msiexec.exe` e `wscript.exe`**: Execução de VBS a partir de MSI CustomAction é assinatura comportamental do loader inicial do Metamorfo ## Referências - [MITRE ATT&CK - S0455](https://attack.mitre.org/software/S0455)