# Python Stealer (Disneyland Team) > [!medium] Infostealer Python Usado em Fraude Bancária com Homógrafos Únicode > Python Stealer é um infostealer desenvolvido em Python e utilizado pelo grupo Disneyland Team, uma gangue de crime financeiro de língua russa conhecida por combinar phishing com domínios homógrafos Únicode (também chamados de ataques Punycode) com infostealers customizados para roubo de credenciais bancárias corporativas. O grupo mistura este stealer com trojans bancários estabelecidos como Gozi/Ursnif em suas operações. ## Visão Geral O Disneyland Team é um grupo de cibercrime financeiro de língua russa documentado pela Group-IB e outras organizações de threat intelligence a partir de 2021. O grupo tem como característica distintiva o uso de domínios homógrafos Únicode - domínios que visualmente imitam marcas de bancos e empresas usando caracteres Cyrillic ou Latin Extended que parecem idênticos a caracteres ASCII comuns em fontes padrão. Esta técnica, conhecida como ataque Punycode, é combinada com certificados TLS válidos para criar páginas de phishing práticamente indistinguíveis dos sites legítimos. O Python Stealer é o componente de coleta de credenciais do arsenal do grupo. Desenvolvido em Python e frequentemente empacotado com PyInstaller para distribuição como executável Windows independente, o stealer coleta credenciais de navegadores, clientes de e-mail e plataformas de internet banking. A escolha do Python para desenvolvimento de malware reflete uma tendência observada mais amplamente no ecossistema de crimeware: a facilidade de desenvolvimento, a vasta biblioteca padrão e as capacidades de cross-platform tornam Python uma opção popular para operadores com formação de desenvolvedor mas sem expertise em C/C++. O grupo integra o Python Stealer com o Gozi/Ursnif - um trojan bancário de longa data - em campanhas mais sofisticadas, onde o stealer realiza a coleta inicial de credenciais enquanto o Gozi mantém acesso persistente e captura sessões bancárias em tempo real via web injection. A combinação resulta em cobertura abrangente tanto de credenciais armazenadas quanto de sessões ativas de internet banking. ## Como Funciona **Arquitetura técnica:** - Desenvolvido em Python (versões 3.x), distribuído como executável via PyInstaller - Coleta dados de perfis de navegadores Chrome, Firefox, Edge, Brave, Opera - Extrai credenciais armazenadas (senha, cookies de sessão, histórico de formulários) - Captura arquivos de carteira de criptomoedas se presentes no sistema - Comúnicação C2 via Telegram Bot API ou HTTP para exfiltração **Técnica de entrega - domínios homógrafos:** - Registro de domínios com caracteres Únicode visualmente similares a bancos-alvo - Exemplos: banco com `а` Cyrillic substituindo `a` ASCII (registrado como `xn--bnco-...`) - Certificados TLS via Let's Encrypt para adicionar cadeado verde ao navegador - Phishing direcionado a clientes corporativos (empresas com acesso a internet banking corporativo) **Integração com Gozi/Ursnif:** - Python Stealer realiza coleta inicial rápida de credenciais armazenadas - Gozi fornece persistência e web injection em sessões bancárias ativas - Operadores combinam os dois para maximizar cobertura de credenciais ## Attack Flow ```mermaid graph TB A["🌐 Domínio Homógrafo<br/>Punycode imita banco real"] --> B["📧 Phishing Corporativo<br/>E-mail para funcionários financeiros"] B --> C["🔗 Link para página falsa<br/>TLS válido - visualmente idêntico"] C --> D["🖱️ Download do Stealer<br/>EXE via PyInstaller"] D --> E["💾 Coleta de Credenciais<br/>Navegadores, e-mail, carteiras"] E --> F["📱 Exfiltração Telegram<br/>Bot API ou HTTP C2"] F --> G["💰 Fraude Bancária<br/>Transferências com credenciais roubadas"] ``` *Ator: [[g0120-evilnum]] · Componente adicional: Gozi/Ursnif banking trojan* ## Timeline ```mermaid timeline title Python Stealer e Disneyland Team 2021 : Disneyland Team identificado : Group-IB documenta técnica Punycode : Campanhas contra bancos russos e CIS 2022 : Expansão de alvos : Bancos na Europa Oriental : Python Stealer como componente 2022-2023 : Integração com Gozi/Ursnif : Campanhas combinadas : Alvos: internet banking corporativo 2024 : Técnica replicada por outros grupos : Domínios Punycode para phishing bancário : Vigilância expandida pelo setor financeiro ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mail com link para página ou EXE malicioso | | Python Execution | [[t1059-006-python\|T1059.006]] | Stealer desenvolvido e executado em Python | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas armazenadas em Chrome, Firefox, Edge | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais digitadas em formulários bancários | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados via Telegram Bot API | | Masquerading | [[t1036-masquerading\|T1036]] | Domínios Punycode que imitam visualmente marcas bancárias | ## Relevância para o Brasil e LATAM > [!latam] Relevância para o Brasil > A técnica de **domínios homógrafos Punycode** é aplicável aos principais bancos brasileiros (**Itaú**, Bradesco, Santander BR, Nubank) e há registros de uso em fraudes contra usuários brasileiros. O uso de **Python para crimeware** é tendência crescente no Brasil: grupos locais adotaram Python para RATs e stealers customizados desde 2022. O foco em **internet banking corporativo** e transferências via PIX é especialmente relevante dado o volume de transações e a ausência de MFA robusto em muitas empresas de médio porte. O Python Stealer e as técnicas do Disneyland Team têm relevância crescente para o Brasil e LATAM: - **Domínios homógrafos em bancos brasileiros**: a técnica de Punycode/homógrafos Únicode é técnicamente aplicável a qualquer marca bancária - os principais bancos brasileiros ([[financial|Itaú]], Bradesco, Santander BR, Nubank) são potenciais alvos desta técnica; há registros de uso em fraudes contra usuários brasileiros - **Python como plataforma de crimeware**: o uso de Python para malware financeiro é uma tendência crescente no Brasil - vários grupos de crime financeiro brasileiro adotaram Python para desenvolvimento de RATs e stealers customizados a partir de 2022 - **Internet banking corporativo como alvo prioritário**: o foco do grupo em funcionários financeiros com acesso a internet banking corporativo é especialmente relevante no Brasil, onde transações via PIX corporativo e transferências TED de alto valor representam alvo lucrativo - A combinação de phishing visual convincente (Punycode) com stealer de credenciais locais é uma evolução das campanhas de engenharia social que já impactam empresas brasileiras de médio porte ## Detecção e Defesa **Indicadores comportamentais:** - Processo Python ou executável PyInstaller acessando arquivos `Login Data` de navegadores em `%AppData%\Local\Google\Chrome\` - Tráfego outbound para `api.telegram.org` por processo incomum - Download de executável `.exe` via link em e-mail corporativo - Verificação de domínios com caracteres Únicode suspeitos (HSTS/Certificate Transparency logs) **Mitigações recomendadas:** - Implementar política de senha de aplicativo para proteger dados salvos do navegador (não salvar senhas de internet banking em navegadores) - Habilitar Safe Browsing com proteção contra homógrafos no Chrome e Firefox (configuração de IDN) - Monitorar processo `python.exe` e executáveis PyInstaller acessando diretórios de perfil de navegadores - Filtro de DNS que detecta domínios Punycode suspeitos (solução de DNS filtering como Cisco Umbrella) - [[m1049-antivirus-antimalware|EDR]] com análise comportamental para stealers Python - foco em acesso a SQLite databases de navegadores ## Referências - [1](https://www.group-ib.com/resources/research/disneyland-team/) Group-IB - Disneyland Team: A New Actor in Financial Cybercrime (2022) - [2](https://www.group-ib.com/blog/phishing-homoglyph-attacks/) Group-IB - Phishing with Punycode/Homoglyph Attacks (2021) - [3](https://securelist.com/gozi-the-multi-faced-banking-trojan/102876/) Kaspersky Securelist - Gozi/Ursnif The Multi-Faced Banking Trojan (2022) - [4](https://attack.mitre.org/techniques/T1059/006/) MITRE ATT&CK - T1059.006 Python Execution (2024) - [5](https://any.run/cybersecurity-blog/pyinstaller-malware/) ANY.RUN - PyInstaller-Based Malware Analysis (2023) - [6](https://www.bleepingcomputer.com/news/security/hackers-abuse-telegram-bot-api-for-malware-data-exfiltration/) BleepingComputer - Hackers Abuse Telegram Bot API for Malware Exfiltration (2023)