diceloader - RunkIntel

# DiceLoader > Tipo: **backdoor minimalista** - S1052 - FIN7/Carbon Spider - acesso inicial e reconhecimento > [!warning] Backdoor Minimalista do FIN7 - S1052 > **DiceLoader** (também conhecido como **Lizar**, **Tirion** e **Remote System Client**) é um backdoor minimalista desenvolvido pelo grupo [[g0046-fin7|FIN7]] (Carbon Spider), rastreado pelo MITRE como **S1052**. Projetado para ser leve e de baixo perfil, o DiceLoader serve como primeiro estágio de acesso - realizando reconhecimento básico do ambiente e possibilitando o download de payloads adicionais sem acionar defesas de segurança por comportamento suspeito excessivo. ## Visão Geral [[diceloader|DiceLoader]] é um backdoor de estágio inicial atribuído ao grupo de crime cibernético [[g0046-fin7|FIN7]], também rastreado como [[g0046-fin7|Carbon Spider]] e Sangria Tempest. O malware, registrado pelo MITRE ATT&CK como **S1052**, é reconhecido por sua filosofia de design **minimalista**: ao contrário de RATs pesados que carregam dezenas de capacidades desde o início, o DiceLoader implementa apenas as funcionalidades estritamente necessárias para reconhecimento inicial e download de payloads complementares. O [[g0046-fin7|FIN7]] é um dos grupos de crime cibernético mais sofisticados e prolíficos do mundo, responsável por bilhões de dólares em perdas ao longo de sua operação. O grupo é conhecido por suas campanhas altamente direcionadas contra o setor de varejo, hospitalidade e restaurantes - comprometendo sistemas de PDV (ponto de venda) para roubo em massa de dados de cartões de crédito. O [[diceloader|DiceLoader]] é parte do arsenal de ferramentas customizadas do grupo, ao lado do [[g0008-carbanak|Carbanak]] e outros backdoors como DAVESHELL e STONEBOAT. O DiceLoader é frequentemente entregue como segundo estágio após um dropper inicial (como o STONEBOAT) que desofusca e carrega o backdoor na memória. Comúnicações C2 são cifradas e o malware implementa técnicas de evasão para minimizar a superfície de detecção. Também foi distribuído via dispositivos USB BadUSB em campanhas de engenharia social físicas documentadas pelo FIN7. **Plataformas:** Windows ## Como Funciona 1. **Entrega:** O [[diceloader|DiceLoader]] chega via phishing ([[t1566-001-spearphishing-attachment|T1566.001]]) com anexos maliciosos ([[t1204-002-malicious-file|T1204.002]]) ou via dropper STONEBOAT/DAVESHELL que carrega o backdoor em memória. 2. **Reconhecimento inicial:** Ao executar, coleta informações do sistema ([[t1082-system-information-discovery|T1082]]), identifica o usuário atual ([[t1033-system-owneruser-discovery|T1033]]) e enumera processos em execução ([[t1057-process-discovery|T1057]]). 3. **Comúnicação C2:** Estabelece comunicação cifrada com infraestrutura C2 via HTTP/HTTPS ([[t1071-001-web-protocols|T1071.001]]) com criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]). 4. **Execução de comandos:** Executa comandos via CMD ([[t1059-003-windows-command-shell|T1059.003]]) conforme instruções do operador. 5. **Download de payloads:** Baixa e executa ferramentas adicionais ([[t1105-ingress-tool-transfer|T1105]]) como CARBANAK, Cobalt Strike ou outras ferramentas FIN7 para acesso expandido. ```mermaid graph TB A["Phishing ou USB BadUSB Dropper STONEBOAT T1566.001 + T1204.002"] --> B["DAVESHELL Loader Desofusca DiceLoader Carrega em memória"] B --> C["Reconhecimento Básico Sysinfo + usuário + processos T1082 + T1033 + T1057"] C --> D["Beacon C2 HTTP/HTTPS cifrado T1071.001 + T1573.002"] D --> E["Execução de Comandos CMD conforme operador T1059.003"] E --> F["Download Payloads CARBANAK / Cobalt Strike T1105 - estágio final"] classDef delivery fill:#c0392b,color:#fff classDef loader fill:#8e44ad,color:#fff classDef recon fill:#d35400,color:#fff classDef c2 fill:#2c3e50,color:#fff classDef exec fill:#2980b9,color:#fff classDef impact fill:#922b21,color:#fff class A delivery class B loader class C recon class D c2 class E exec class F impact ``` ## Timeline ```mermaid timeline title DiceLoader - Evolução FIN7 2021 : DiceLoader identificado como ferramenta FIN7 : Também rastreado como Lizar e Tirion : Design minimalista para evasão EDR 2022 : MITRE registra como S1052 : Uso em campanhas contra varejo e hospitalidade 2023 : Campanha USB BadUSB com DiceLoader : Distribuição física como vetor de entrega 2024 : FIN7 continua ativo com arsenal atualizado : DiceLoader como primeiro estágio de acesso ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexos maliciosos | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Arquivo malicioso executado pelo usuário | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via CMD | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | Identidade do usuário atual | | Discovery | [[t1057-process-discovery\|T1057]] | Enumeração de processos | | Command and Control | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP/HTTPS | | Command and Control | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia assimétrica nas comúnicações | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Payload obfuscado em memória | | Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads de segundo estágio | ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] e seu arsenal, incluindo o [[diceloader|DiceLoader]], representam uma ameaça significativa para o setor de hospitalidade e varejo no Brasil e LATAM. O grupo tem histórico documentado de operações contra redes de restaurantes, hotéis e varejistas - setores com grande presença no Brasil que processam volumes elevados de transações com cartão de crédito. O vetor **BadUSB** utilizado pelo FIN7 é especialmente relevante no contexto brasileiro, onde práticas de segurança física são frequentemente negligenciadas. Funcionários recebendo dispositivos USB aparentemente legítimos (como teclados "gratuitos" ou pendrives promocionais) representam um vetor de ataque subestimado em empresas de médio porte do setor de varejo e hospitalidade. Empresas do setor [[hospitality|hospitalidade]], [[retail|varejo]] e [[financial|financeiro]] com sistemas de PDV devem considerar o FIN7/DiceLoader como ameaça de alto risco e implementar controles específicos de segurança física e de endpoint. **Setores impactados:** [[financial|financeiro]] - varejo - hospitalidade - restaurantes - sistemas PDV ## Detecção - Monitorar execução de processos `cmd.exe` iniciados por processos incomuns (Office, browsers em modo incomum) - Detectar conexões HTTP/HTTPS para domínios recentemente registrados por processos não reconhecidos - Alertar para criação de processos filhos de documentos Office ou PDF com conexões de rede - Inspecionar comúnicações de rede com User-Agent incomuns ou padrões de beaconing regulares - Monitorar dispositivos USB recém-conectados que se comportam como teclado (HID) e executam keystroke injection - Implementar AppLocker/WDAC para restringir execução de binários não assinados ## Referências - [1](https://attack.mitre.org/software/S1052/) MITRE ATT&CK - S1052 DiceLoader (2023) - [2](https://www.mandiant.com/resources/blog/fin7-group-uses-javascript-backdoor) Mandiant - FIN7 JavaScript Backdoor Analysis (2022) - [3](https://www.crowdstrike.com/blog/carbon-spider-and-graceful-spider-unite-to-target-financial-sector/) CrowdStrike - Carbon Spider FIN7 Arsenal (2023) - [4](https://www.sentinelone.com/labs/fin7-the-notorious-cybercrime-gang-behind-númerous-attacks/) SentinelOne - FIN7 Complete Arsenal Analysis (2022) - [5](https://www.bleepingcomputer.com/news/security/fin7-hackers-used-usb-badusb-drives-to-deliver-ransomware/) BleepingComputer - FIN7 BadUSB Campaign with DiceLoader (2022)