# Carbanak > Tipo: **malware** · S0030 · [MITRE ATT&CK](https://attack.mitre.org/software/S0030) ## Cadeia de Infecção ```mermaid graph TB A["📧 Spearphishing bancário<br/>Documento malicioso<br/>Funcionário do banco"] --> B["💥 PE injection<br/>T1055.002<br/>Persistência Registry T1547.001"] B --> C["🔍 Reconhecimento interno<br/>Keylogging T1056.001<br/>Screen capture T1113"] C --> D["📡 C2 via HTTP/HTTPS<br/>Criptografia simétrica T1573.001<br/>Acesso RDP T1021.001"] D --> E["🔧 Conta local criada<br/>T1136.001<br/>Email collection T1114.001"] E --> F["💀 Fraude SWIFT/ATM<br/>Transferências fraudulentas<br/>Saques em caixas eletrônicos"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef install fill:#3498db,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C recon class D c2 class E install class F impact ``` ## Descrição [[g0008-carbanak|Carbanak]] é um backdoor remoto completo utilizado pelo grupo de mesmo nome ([[g0008-carbanak|Carbanak]]), também conhecido como Anunak, e posteriormente pelo grupo [[g0046-fin7|FIN7]]. É destinado à espionagem, exfiltração de dados e fornecimento de acesso remoto a máquinas infectadas em instituições financeiras. Descoberto em 2014 pela Kaspersky Lab, o Carbanak foi responsável por um dos maiores esquemas de fraude bancária da história, com estimativas de prejuízo entre 500 milhões e 1 bilhão de dólares globalmente. O malware fornece capacidades abrangentes de pós-exploração, incluindo captura de tela ([[t1113-screen-capture|T1113]]), registro de teclas ([[t1056-001-keylogging|T1056.001]]), dump de credenciais do sistema operacional ([[t1003-os-credential-dumping|T1003]]), acesso a e-mails locais ([[t1114-001-local-email-collection|T1114.001]]) e controle de desktop remoto via RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]). A comunicação C2 ocorre via HTTP/HTTPS com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]), e o malware injeta código em processos do sistema para evasão ([[t1055-002-portable-executable-injection|T1055.002]]). A persistência é mantida via chaves de registro Run ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e contas locais criadas pelo atacante ([[t1136-001-local-account|T1136.001]]). O Carbanak é notável pela capacidade de monitorar operações bancárias internas, interceptando transações SWIFT e manipulando sistemas de ATM para saque fraudulento de dinheiro - técnica revelada em investigações forenses de múltiplos bancos russo-europeus. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] - [[t1114-001-local-email-collection|T1114.001 - Local Email Collection]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1219-remote-access-tools|T1219 - Remote Access Tools]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Grupos que Usam - [[g0046-fin7|FIN7]] - [[g0008-carbanak|Carbanak]] ## Detecção - Monitorar injeção de código em processos do sistema via técnicas de PE injection ([[t1055-002-portable-executable-injection|T1055.002]]) - Detectar criação de contas locais por processos não administrativos ([[t1136-001-local-account|T1136.001]]) - Alertar sobre keylogging e captura de tela por processos em segundo plano ([[t1056-001-keylogging|T1056.001]], [[t1113-screen-capture|T1113]]) - Monitorar consultas de registro suspeitas combinadas com tráfego HTTP para IPs externos ([[t1012-query-registry|T1012]]) - Regra Sigma: processo não autenticado estabelecendo sessão RDP em horário incomum ([[t1021-001-remote-desktop-protocol|T1021.001]]) ## Relevância LATAM/Brasil O [[g0008-carbanak|Carbanak]] representa uma ameaça crítica para o setor financeiro brasileiro. O Brasil é um dos maiores mercados bancários do mundo e possui sistemas de pagamento como o Pix que, se comprometidos a nível de infraestrutura bancária, representariam impacto bilionário. Grupos derivados do Carbanak, como o [[g0046-fin7|FIN7]], continuam ativos e têm expandido alvos para além de bancos tradicionais. Bancos brasileiros de médio porte com menor maturidade em segurança são alvos particularmente vulneráveis às TTPs de reconnaissance e acesso remoto do Carbanak. ## Referências - [MITRE ATT&CK - S0030](https://attack.mitre.org/software/S0030)