vadokrist - RunkIntel

# Vadokrist > Tipo: **banking trojan** · Familia LATAM (ESET serie) · [ESET WeLiveSecurity](https://www.welivesecurity.com/2021/01/21/vadokrist-wolf-sheeps-clothing/) > [!danger] Lobo em Pele de Ovelha > O apelido dado pela ESET ao Vadokrist e "lobo em pele de ovelha": aparenta ser menos capaz que outros trojans por nao coletar informações na instalacao, mas possui funcionalidades completas de backdoor. Seu diferencial e a abordagem minimalista - coleta apenas o necessário, apenas quando necessário. ## Visão Geral [[vadokrist|Vadokrist]] e um banking trojan de origem **brasileira**, escrito em **Delphi**, rastreado pela ESET desde 2018 e ativo quase exclusivamente no Brasil. Faz parte do ecossistema de 11 familias de trojans bancarios latino-americanos identificados pela ESET, com conexoes confirmadas ao [[amavaldo|Amavaldo]], [[casbaneiro|Casbaneiro]], [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]]. Sua principal caracteristica distintiva e que **nao coleta informações sobre a vitima no momento da instalacao** - comportamento contrario a maioria dos banking trojans LATAM. O Vadokrist so coleta o nome de usuario da vitima, e apenas após iniciar um ataque contra uma instituicao financeira alvo. Apesar desta aparente limitacao, mantem backdoor completa com capacidades avancadas. **Caracteristicas técnicas distintas:** - Coleta de informações minima - apenas nome de usuario, apenas durante ataque ativo - Criptografia **TripleKey** compartilhada com [[amavaldo|Amavaldo]] e [[casbaneiro|Casbaneiro]] - Algoritmos adicionais: RC4 em versoes recentes; TwoFish em versoes antigas - Injetor DLL **identico** ao usado pelo Amavaldo - Compartilha download chain completa com [[mekotio|Mekotio]] (cadeia identica documentada) - Ofuscação de JavaScript: abusa do operador virgula (`,`) e AND lógico (`&&`) - Configuração remota hospedada em GitHub (público) - Contagem desproporcional de código morto - estratégia intencional para retardar análise **Relevância Brasil:** Foco exclusivo em Brasil desde 2018. Compartilha infraestrutura e cadeias de distribuição com [[mekotio|Mekotio]] - a mesma cadeia de 4 estagios foi distribuindo os dois trojans em campanhas observadas pela ESET. ## Como Funciona ### Abordagem Minimalista (Diferencial) Enquanto outros trojans LATAM coletam nome do computador, versao do Windows, lista de softwares instalados e indicadores de proteção bancaria logo após a instalacao, o Vadokrist segue abordagem oposta: 1. Instala-se silenciosamente sem coletar dados 2. Monitora jánelas ativas aguardando titulo relacionado a banco alvo 3. **Somente quando encontra banco alvo:** coleta nome de usuario da vitima e inicia ataque 4. Exibe jánela pop-up falsa específica para aquele banco Esta abordagem reduz o "barulho" nos logs e dificulta detecção comportamental baseada em coleta de informações do sistema. ### Criptografia TripleKey O Vadokrist usa o algoritmo TripleKey para proteger strings, payloads e configuracoes remotas. Este e o mesmo algoritmo customizado usado pelo Amavaldo e Casbaneiro. Em algumas versoes mais recentes, adotou RC4 (raro entre trojans LATAM que preferem algoritmos customizados). No passado, chegou a usar TwoFish. ### Distribuição Recente Emails de spam recentes distribuem dois arquivos ZIP, cada um contendo MSI installer e arquivo CAB. Quando a vitima executa o MSI: 1. MSI localiza o CAB e extrai seu conteudo (MSI loader) 2. Executa JavaScript embutido (obfuscado com operador virgula) 3. JavaScript adiciona entrada Run key para persistência 4. JavaScript reinicializa a maquina 5. No boot, MSI loader executa DLL embutida: o Vadokrist ### Código Morto Intencional O binario contem grande quantidade de código nunca executado - estratégia intencional para aumentar o tamanho do binario, retardar análise manual e possívelmente enganar soluções de segurança baseadas em tamanho de arquivo como indicador de complexidade. ## Attack Flow ```mermaid graph TB A["📧 Spam com ZIP Duplo Dois ZIPs: MSI + CAB Templaté fiscal/corporativo"] --> B["📦 Execução MSI Localiza CAB Extrai MSI Loader"] B --> C["📜 JavaScript Obfuscado Abusa operador virgula Adiciona Run key"] C --> D["🔄 Reboot + DLL Side-Load MSI Loader executa DLL Vadokrist descriptor + injetado"] D --> E["⏳ Espera Silenciosa Zero coleta de dados Monitora titulos de jánela"] E --> F["🏦 Banco Detectado Coleta apenas username Inicia ataque direcionado"] F --> G["🪟 Pop-up Falso Específico Overlay customizado para o banco identificado"] G --> H["🔐 Captura de Credenciais Bloqueia input fora da jánela Keylog + exfiltração ao C2"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef loader fill:#e67e22,stroke:#d35400,color:#fff classDef persist fill:#f39c12,stroke:#d68910,color:#fff classDef stealth fill:#27ae60,stroke:#229954,color:#fff classDef attack fill:#c0392b,stroke:#922b21,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B,C loader class D persist class E stealth class F,G attack class H exfil ``` ## Linha do Tempo ```mermaid timeline title Evolução do Vadokrist 2018 : Primeiras amostras detectadas : Foco exclusivo no Brasil : ESET inicia rastreamento 2019 : Adota MSI como método de distribuição : Cadeia de 4 estagios compartilhada com Mekotio 2020 : ESET VB2020 - listado entre 11 familias LATAM : Download chain identica ao Mekotio documentada 2021 : ESET publica análise detalhada em janeiro : Algoritmos TripleKey e RC4 documentados : Injetor DLL identico ao Amavaldo confirmado : Continua ativo entre as 8 familias ``` | Período | Evento | |---------|--------| | 2018 | Primeiras amostras Vadokrist detectadas - Brasil exclusivo | | 2019 | Transicao para MSI como método de distribuição primario | | Out/2020 | ESET VB2020 - Vadokrist entre os 11 trojans bancarios LATAM | | Ján/2021 | ESET pública "Vadokrist - A wolf in sheep's clothing" - análise completa | | Dez/2021 | ESET confirma Vadokrist ativo entre as 8 familias ainda operacionais | ## TTPs Mapeados | Tática | Técnica | Uso pelo Vadokrist | |--------|---------|-------------------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spam com ZIP duplo contendo MSI e CAB | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa MSI distribuido por email | | Execution | [[t1059-007-javascript\|T1059.007]] | JavaScript obfuscado na cadeia de distribuição | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Entrada Run key adicionada pelo JavaScript | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | MSI loader executa DLL Vadokrist via side-loading | | Defense Evasion | [[t1027-001-binary-padding\|T1027.001]] | Código morto intencional para retardar análise | | Defense Evasion | [[t1140-deobfuscate-decode-files\|T1140]] | Strings e payload protegidos por TripleKey ou RC4 | | Discovery | [[t1010-application-window-discovery\|T1010]] | Monitoramento de titulos de jánelas de bancos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta minima: apenas username durante ataque | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Coleta indicadores de software de proteção bancaria | | Collection | [[t1113-screen-capture\|T1113]] | Screenshots durante ataque de overlay | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging de credenciais bancarias | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 | ## Relevância LATAM/Brasil > [!warning] Conexoes com Familias do Ecossistema LATAM > Vadokrist demonstra o nivel de cooperação entre os grupos de trojans bancarios LATAM: > - **Mesma cadeia de 4 estagios** usada por Mekotio - observada distribuindo os dois trojans alternadamente > - **Mesmo injetor DLL** que Amavaldo para descriptografar e executar o payload > - **Mesmo obfuscador JavaScript** que Casbaneiro e Mekotio em scripts de distribuição > - **Algoritmo TripleKey** compartilhado com Amavaldo e Casbaneiro > [!tip] Alvos no Brasil > - Bancos brasileiros de varejo (Bradesco, Itau, Banco do Brasil, Caixa, Santander) > - Acesso a sites bancarios bloqueado após infecção - técnica de controle de acesso > - Campanha 2021 atingiu ~98 organizacoes no Brasil (Symantec) **Setores impactados:** - [[financial|Financeiro]] - bancos de varejo brasileiros - [[technology|Tecnologia]], servicos profissionais, manufatura, governo (campanha 2021) ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **CAB dentro de ZIP:** Monitorar MSI que extrai e executa conteudo de arquivo CAB embutido > - **JavaScript com Operador Virgula:** Detectar JS com abuso do operador `,` e `&&` para ofuscacao de fluxo - padrao documentado pela ESET > - **GitHub Remote Config:** Monitorar processos Delphi acessando repositorios GitHub para configuração C2 (URL config hospedada públicamente) > - **Minimal Collection Pattern:** Processo que so acessa `GetUserName()` após detectar jánela de banco - comportamento diferencial versus coleta imediata > - **Binary with Dead Code:** Análise de densidade de código executavel versus total do binario - Vadokrist tem proporcao anormalmente baixa **Controles recomendados:** - Bloquear execução de MSI de URLs externas via AppLocker ou WDAC - Implementar [[m1038-execution-prevention|M1038]] para restricao de JavaScript via email - Monitorar `msiexec.exe` conectando a GitHub ou servidores nao-corporativos - [[m1017-user-training|M1017]] - treinamento sobre spam com MSI e ZIP duplos ## Referências - [1](https://www.welivesecurity.com/2021/01/21/vadokrist-wolf-sheeps-clothing/) ESET WeLiveSecurity - Vadokrist: A wolf in sheep's clothing (2021) - [2](https://web-assets.esetstatic.com/wls/en/papers/white-papers/ESET_LATAM_financial_cybercrime.pdf) ESET - LATAM Financial Cybercrime: Competitors-in-crime sharing TTPs (2020) - [3](https://www.security.com/threat-intelligence/banking-trojan-latam-brazil) Symantec/Broadcom - Almost 100 Organizations in Brazil Targeted with Banking Trojan (2021) - [4](https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/) ESET WeLiveSecurity - The dirty dozen of Latin América (2021) - [5](https://thehack.com.br/assolando-brasileiros-desde-2018-trojan-bancario-vadokrist-evolui-e-preocupa-pesquisadores/) The Hack - Trojan bancario Vadokrist evolui e preocupa pesquisadores (2021)