# Ursnif - O Malware com Mil Faces e 17 Anos de Atividade > **ATIVO (variantes em evolução) | Banking Trojan + Loader | Windows | Global** - Ursnif (alias Gozi, ISFB, Dreambot) e um dos malwares mais antigos e resilientes em atividade, presente desde 2007. Com seu código-fonte vazado em 2015 no GitHub, tornou-se a base de dezenas de variantes distintas - incluindo o moderno [[lumma-stealer|Lumma Stealer]] que apresenta similaridades arquiteturais. Classificado como top-2 malware em healthcare pelo FireEye em 2020. > [!info] Código-fonte público > O vazamento do código-fonte Gozi-ISFB no GitHub em fevereiro de 2015 gerou uma explosao de variantes. Qualquer ator pode baixar e customizar o código, tornando atribuicao e rastreamento extremamente dificeis. ## Visão Geral **Ursnif** (MITRE S0386, aka Gozi, Gozi-ISFB, Dreambot, LDR4, Papras) e um banking trojan modular que existe desde 2007, tornando-o um dos malwares ativos mais antigos documentados. O código-fonte original de **Gozi v1** foi parcialmente vazado em 2010, levando ao desenvolvimento de dois branches principais: **Gozi Prinimalka** e **Gozi ISFB** (ISFB = Infection Sub-Framework Banking). Em fevereiro de 2015, o código-fonte completo do ISFB foi públicado no GitHub, desencadeando proliferacao massiva de variantes. Entre elas: **Dreambot** (variante com suporte Tor), **GozNym** (fusao com Nymaim), **LDR4** (2023, otimizado para ransomware), e diversas outras. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan + Loader modular | | **Alias principais** | Gozi, ISFB, Dreambot, LDR4, Goziv3, RM3 | | **Linguagem** | C (com assembly em partes criticas) | | **Primeira observacao** | 2007 | | **Status** | Ativo - múltiplas variantes em desenvolvimento | | **C2** | HTTPS (Dreambot usa Tor adicional) | | **Escala** | Top-2 malware healthcare Q1 2020 (FireEye) | | **MITRE ID** | S0386 | ## Visão Geral Técnica ### Capacidades Core **Roubo de Credenciais:** - Web injects em bancos via hook de API ([[t1185-browser-session-hijacking|T1185]]) - captura antes do SSL - Coleta de credenciais de Chrome, Firefox, Edge ([[t1555-003-credentials-from-browsers|T1555.003]]) - Roubo de certificados, cookies e arquivos - Keylogging e captura de screen ([[t1056-001-keylogging|T1056.001]], [[t1113-screen-capture|T1113]]) **Módulos Avancados:** - **Tor client**: variante Dreambot usa onion routing para C2 ([[t1090-003-multi-hop-proxy|T1090.003]]) - **VNC module**: acesso remoto ao desktop da vitima - **File infector**: propaga-se infectando arquivos executaveis - **USB spreader**: copia-se para drives removiveis ([[t1091-replication-removable-media|T1091]]) - **DGA**: algoritmo de geracao de dominios para failover de C2 **Evasão:** - APC injection para injecao em explorer.exe ou svchost.exe ([[t1055-004-apc-injection|T1055.004]]) - Delay de 30 minutos antes de execução para evadir sandboxes ([[t1497-virtualizationsandbox-evasion|T1497]]) - Parent PID spoofing ([[t1134-004-parent-pid-spoofing|T1134.004]]) - Configuração criptografada na seção BSS do PE ### Cadeia de Infecção ```mermaid graph TB A["📧 Email phishing<br/>XLS com macro / ZIP com HTA<br/>Impersonando governo ou banco"] --> B["📎 Usuario executa anexo<br/>Macro VBA ou HTA<br/>T1204.002"] B --> C["⚙️ PowerShell / rundll32<br/>Decripta payload Ursnif<br/>Multi-layer unpacking"] C --> D["💉 APC Injection<br/>Injeta em explorer.exe<br/>ou svchost.exe"] D --> E["🔗 C2 via HTTPS<br/>Dados XOR + Base64<br/>URL como .jpeg falso"] E --> F["🎣 Web Injects bancarios<br/>Hook de API - captura<br/>antes do SSL"] F --> G["📤 Exfiltração<br/>Credenciais + screenshots<br/>AES criptografado"] ``` ## Timeline ```mermaid timeline title Ursnif / Gozi - Evolução 2007 : Primeiras amostras Gozi v1 2010 : Vazamento parcial do código : Gozi Prinimalka e ISFB surgem 2013 : Updaté com rootkit MBR : Maior persistência 2015 : Vazamento completo ISFB no GitHub : Explosao de variantes 2017 : Campanhas massivas no Jápao : Milhoes de emails para jáponeses 2019-2020 : Top-2 healthcare malware : Campanhas Italia e EUA 2022 : Gozi 2.0 por Disneyland Team : Ataques Punycode contra bancos 2023 : LDR4 - nova variante para ransomware : Arquitetura reformulada ``` ## TTPs MITRE ATT&CK | ID | Técnica | Uso | |----|---------|-----| | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing Attachment | XLS com macro ou ZIP com HTA | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Download cradles para payload | | [[t1059-005-vba\|T1059.005]] | Visual Basic | Macros nos documentos maliciosos | | [[t1218-010-regsvr32\|T1218.010]] | Regsvr32 | Execução de DLL via regsvr32 | | [[t1218-011-rundll32\|T1218.011]] | Rundll32 | Execução alternativa via rundll32 | | [[t1055-004-apc-injection\|T1055.004]] | APC Injection | Injecao em explorer.exe/svchost.exe | | [[t1185-browser-session-hijacking\|T1185]] | Browser Session Hijacking | Web injects em sites bancarios | | [[t1056-001-keylogging\|T1056.001]] | Keylogging | Captura de keystrokes | | [[t1113-screen-capture\|T1113]] | Screen Capture | Screenshots via hook de API | | [[t1090-003-multi-hop-proxy\|T1090.003]] | Multi-hop Proxy | Dreambot usa rede Tor para C2 | | [[t1497-virtualizationsandbox-evasion\|T1497]] | Sandbox Evasion | Delay de 30 min antes de execução | | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run Keys | Persistência via Run keys | ## Impacto no Brasil / LATAM Ursnif teve presenca documentada no Brasil e LATAM: - **Campanhas bancarias**: Variantes ISFB com web injects customizados para bancos brasileiros foram identificadas por pesquisadores entre 2018-2022 - **Distribuição regional**: Campanhas identificadas por Palo Alto Networks incluiram Brasil e Argentina como alvos - **Setor financeiro**: O modelo de web inject e particularmente eficaz contra o sistema bancario brasileiro dado o alto volume de transações online > [!warning] Alerta LATAM > Ursnif e um dos poucos trojans bancarios com web injects documentados para bancos brasileiros de grande porte. Equipes de segurança do setor financeiro devem manter deteccoes específicas para variantes ISFB e LDR4. ## Detecção e Caca a Ameaças ### Indicadores Comportamentais - Processo filho suspeito de Excel/Word (regsvr32, rundll32, mshta, powershell) - Injecao de código em explorer.exe com origem em processo Office - Queries DNS para dominios gerados por DGA (padroes randomicos) - Traffic HTTP com URL contendo path que parece extensao de imagem (.jpeg, .png) - Registro de novo servico Windows pelo malware - Comúnicação com rede Tor (Dreambot) ### KQL - Microsoft Sentinel ```kusto // Excel ou Word spawna processo suspeito DeviceProcessEvents | where InitiatingProcessFileName in~ ("excel.exe", "winword.exe") | where FileName in~ ("regsvr32.exe", "rundll32.exe", "mshta.exe", "wscript.exe", "cscript.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLine ``` ## Referências - [MITRE ATT&CK S0386](https://attack.mitre.org/software/S0386/) - Entrada oficial Ursnif - [Qualys - Ursnif TTPs](https://blog.qualys.com/vulnerabilities-threat-research/2022/05/08/ursnif-malware-banks-on-news-events-for-phishing-attacks) - [Darktrace - Gozi-ISFB Detection](https://www.darktrace.com/já/blog/gozi-isfb-darktraces-detection-of-the-malware-with-a-thousand-faces) - [HHS HC3 - Ursnif Report](https://www.hhs.gov/sites/default/files/ursnif-malware.pdf) - [Cyware - Ursnif Adaptability](https://cyware.com/resources/research-and-analysis/ursnif-trojan-a-classic-example-of-malware-persistence-and-adaptability-e54c)