# Casbaneiro (Metamorfo) > [!danger] Resumo > Banking trojan de origem brasileira ativo desde 2018, rastreado sob múltiplos aliases (Metamorfo, Ponteiro, Salve). Operado pelo grupo Water Saci, e especializado em fraude financeira contra bancos brasileiros e mexicanos, com evolução continua que inclui downloader experimental em Rust (2023-2024) e verificacoes comportamentais cirurgicas de ambiente bancario para maximizar conversao de vitimas relevantes. ## Visão Geral [[casbaneiro|Casbaneiro]] e um banking trojan **Delphi** de origem **brasileira**, ativo desde pelo menos 2018 e rastreado sob os nomes **Metamorfo** (alias historico amplamente documentado), **Ponteiro** e **Salve** (rastreamento CrowdStrike para o operador). E considerado parte da familia de banking trojans LATAM conhecida como a **"Tetrada Brasileira"** - ao lado de [[s0373-astaroth|Astaroth/Guildma]], [[mekotio|Mekotio]] e Grandoreiro. O Casbaneiro e operado pelo grupo **Water Saci** (rastreamento Trend Micro), que demonstra inovacao técnica consistente. Entre 2023 e 2024, o grupo introduziu um **downloader experimental em Rust** no primeiro estagio, sinalizando investimento em evasão de assinaturas baseadas em Delphi. O payload central permanece em Delphi, mas a cadeia de entrega evoluiu de PDFs/ZIPs maliciosos para HTML/RARs com bypass UAC via `fodhelper.exe`. O malware aplica reconhecimento bancario cirurgico antes de ativar: verifica se o sistema possui aplicativos bancarios brasileiros instalados (Warsaw, Topaz OFD, Sicoob) e analisa o historico do Chrome em busca de URLs de portais bancarios. Essa verificação aumenta a taxa de conversao em vitimas financeiramente relevantes e reduz exposicao. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan | | **Linguagem** | Delphi (core) + Rust (downloader experimental 2023-2024) | | **Primeira observacao** | 2018 | | **Status** | Ativo - campanhas 2024-2025 | | **MITRE ID** | S0455 | | **Operador** | Water Saci (Trend Micro) | ## Como Funciona **Estagio 1 - Entrega:** E-mail de phishing com lure de nota fiscal, comúnicado bancario ou documento fiscal. Pos-2023: HTML com link para download de RAR/ZIP (substituindo PDFs e ZIPs diretamente). O payload de primeiro estagio em algumas variantes usa **Rust** - linguagem que gera binarios com poucos artefatos forenses conhecidos. **Estagio 2 - Loader e Verificação:** MSI installer executa CustomActions com VBScript. O loader verifica: - Configuração de locale pt-BR antes de prosseguir. - Presenca de aplicativos de segurança bancaria (Warsaw, Topaz OFD). - Historico de navegacao no Chrome para URLs bancarias alvo. Se nenhum indicador bancario for detectado, o loader encerra sem instalar o payload principal - conservando campanhas para vitimas financeiramente relevantes. **Estagio 3 - Payload Delphi e DLL Hijacking:** O payload Delphi principal e carregado via DLL hijacking em uma aplicação legitima. Estabelece persistência via chave `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`. Bypass de UAC via `fodhelper.exe` (T1548.002) para executar com privilegios elevados sem dialogo UAC. **Estagio 4 - Banking Monitor e Fraude:** Monitora titulos de jánela (T1010) para detectar portais bancarios. Quando detectado: - Exibe **overlay** de pop-up falso imitando banco para captura de credenciais, OTPs e códigos de verificação. - Ativa **keylogging** continuo. - Substitui enderecos de criptomoedas copiados pela carteira do atacante (clipboard hijacking). **C2:** HTTP/S com infraestrutura rotativa. Sem IMAP ou WhatsApp worm confirmados no payload core - esses módulos sao de familias adjacentes (Water Saci separado, [[s0373-astaroth|Astaroth]]). C2 com chave assimetrica para cifragem de dados exfiltrados (T1573.002). ## Attack Flow ```mermaid graph TB A["📧 Phishing Fiscal<br/>Nota fiscal / comúnicado bancario<br/>HTML com link para RAR/ZIP"] --> B["📦 Rust Downloader / MSI<br/>VBScript CustomAction<br/>Verifica locale pt-BR"] B --> C["🔍 Reconhecimento Bancario<br/>Detecta Warsaw / Topaz OFD<br/>Historico Chrome banking"] C --> D{"Vitima relevante?"} D -->|Nao| X["❌ Encerra sem infectar<br/>Evita exposicao"] D -->|Sim| E["💉 DLL Hijacking Delphi<br/>UAC bypass fodhelper.exe<br/>Persistência HKCU Run"] E --> F["🏦 Banking Overlay<br/>Pop-up falso Bradesco/BB/CEF<br/>Keylog + clipboard hijack"] F --> G["📤 Exfiltração C2<br/>HTTP/S cifrado<br/>Chave assimetrica T1573.002"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef loader fill:#e67e22,stroke:#d35400,color:#fff classDef recon fill:#27ae60,stroke:#1e8449,color:#fff classDef decision fill:#f39c12,stroke:#d68910,color:#fff classDef install fill:#3498db,stroke:#1a5276,color:#fff classDef impact fill:#8e44ad,stroke:#7d3c98,color:#fff classDef exfil fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B loader class C,D recon class E install class F impact class G exfil ``` ## Timeline de Evolução ```mermaid timeline title Casbaneiro - Evolução 2018-2025 2018 : Primeiras amostras identificadas : MITRE documenta como S0455 2019 : ESET documenta familia Casbaneiro : Parte da Tetrada de banking trojans LATAM 2020 : Expansao para Mexico : Verificacoes de locale aprimoradas 2021 : Uso de IMAP como canal C2 alternativo : Mecanismo de fallback documentado 2022 : Reconhecimento de historico do Chrome : Verificação de apps Warsaw e Topaz OFD 2023 : Downloader experimental em Rust : Transicao de PDF/ZIP para HTML/RAR delivery 2024 : UAC bypass via fodhelper.exe : Campanhas ativas no Brasil e Mexico 2025 : Infraestrutura rotativa de C2 : Ativo com cadeias refinadas ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com HTML ou ZIP malicioso | | Execução | [[t1218-007-msiexec\|T1218.007]] | MSI com CustomAction executando VBScript | | Execução | [[t1059-005-visual-basic\|T1059.005]] | VBScript para download e execução de payloads | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Chave HKCU Run para persistência | | Escalada | [[t1548-002-bypass-user-account-control\|T1548.002]] | UAC bypass via fodhelper.exe | | Evasão | [[t1027-013-encryptedencoded-file\|T1027.013]] | Payloads cifrados em AES | | Evasão | [[t1574-001-dll\|T1574.001]] | DLL hijacking em aplicativo legitimo | | Evasão | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de AV e ambiente sandbox | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas durante sessao bancaria | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela do ambiente bancario | | Coleta | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | DLL injection no payload principal | | C2 | [[t1102-001-dead-drop-resolver\|T1102.001]] | Servicos legitimos para resolução de C2 | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/S para comunicação com C2 | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Cifragem assimetrica dos dados exfiltrados | | Descoberta | [[t1124-system-time-discovery\|T1124]] | Verificação de fuso horario / locale | ## Relevância LATAM/Brasil > [!danger] Impacto Regional > O Casbaneiro e uma das ameaças financeiras **mais específicamente voltadas para o Brasil** - desenvolvido por grupo criminoso local para atacar exatamente os bancos usados pelos brasileiros. O Brasil concentra **61% de todas as deteccoes de banking trojans na América Latina** em 2024 segundo a ESET, e o Casbaneiro esta consistentemente entre as familias mais prevalentes. O sistema Pix, com adocao de mais de 150 milhões de usuarios, expande a superficie de fraude que o Casbaneiro explora via overlay e clipboard hijacking de transações instantaneas e irreversiveis. > [!warning] Setores Alvo > - **[[financial|Financeiro]] brasileiro**: Clientes de Bradesco, Banco do Brasil, Caixa Economica Federal, Itau, Sicredi, Santander Brasil > - **Exchanges de criptomoedas**: Módulo de clipboard hijacking substitui enderecos de carteiras cripto > - **[[financial|Financeiro]] mexicano**: Verificacoes de locale e URLs bancarias específicas do Mexico documentadas ## Indicadores de Comprometimento | Tipo | Valor | |------|-------| | Familia AV | `TrojanSpy.Win32.CASBANEIRO.RG` | | Dominio (C2) | `maisseguraca[.]site` | | Comportamento | Acesso a pastas Warsaw, Topaz OFD, Sicoob | | Comportamento | `fodhelper.exe` executando processo filho inesperado | | Artefato | Scripts AutoIt com verificação de locale pt-BR | | Persistência | `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` | ## Detecção e Defesa **Event IDs prioritarios:** - **Sysmon Event ID 1 (ProcessCreaté):** `fodhelper.exe` como processo pai de processo inesperado - padrao de UAC bypass. - **Sysmon Event ID 7 (ImageLoaded):** DLL carregada de diretorio temporario por binario AutoIt/AutoHotKey. - **Windows Event ID 4688:** MSI instalador (`msiexec.exe`) com argumentos de CustomAction executando VBScript. - **Sysmon Event ID 13 (RegistryValue):** Criação de entrada HKCU Run apontando para diretorio temporario. **Regras de detecção:** - Sigma: `proc_creation_win_fodhelper_uac_bypass.yml` - detecao de UAC bypass via fodhelper. - Sigma: `sysmon_reg_user_run_key_new_value.yml` - nova entrada Run em diretorio suspeito. - Behavioral: Acesso a pasta de instalacao do Warsaw ou Topaz OFD por processo AutoIt. **Mitigacoes:** - Configurar HKLM para sobrescrever HKCU em `ms-settings` e `fodhelper` via hardening de UAC. - Monitorar acesso de AutoIt/AutoHotKey a diretorios de aplicativos bancarios. - Implementar alertas em clipboard com enderecos de criptomoeda sendo substituidos. - Solucoes anti-overlay bancario (Kaspersky, ESET, Bitdefender) detectam pop-ups falsos. ## Referências - [1](https://attack.mitre.org/software/S0455) MITRE ATT&CK S0455 (Metamorfo/Casbaneiro) - [2](https://www.sygnia.co/blog/breaking-down-casbaneiro-infection-chain/) Sygnia - Casbaneiro Infection Chain Part 1 - [3](https://www.sygnia.co/blog/breaking-down-casbaneiro-infection-chain-part2/) Sygnia - Casbaneiro Infection Chain Part 2 - [4](https://thehackernews.com/2023/07/casbaneiro-banking-malware-goes-under.html) The Hacker News - Casbaneiro UAC bypass (2023) - [5](https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojanspy.win32.casbaneiro.rg) Trend Micro - TrojanSpy CASBANEIRO.RG - [6](https://tiinside.com.br/en/02/10/2025/brasil-concentra-61-das-deteccoes-de-trojans-bancarios-na-al-aponta-eset/) ESET - Brasil concentra 61% das deteccoes LATAM (2025) - [7](https://www.bitdefender.com/files/News/CaseStudies/study/333/Bitdefender-PR-Whitepaper-Metamorfo-creat4500-en-EN-GenericUse.pdf) Bitdefender - Metamorfo DLL Hijacking Analysis