# Bankshot > Tipo: **malware** · S0239 · [MITRE ATT&CK](https://attack.mitre.org/software/S0239) ## Descrição [[s0239-bankshot|Bankshot]] é uma ferramenta de acesso remoto (RAT) relatada pela primeira vez pelo Departamento de Segurança Interna dos EUA em dezembro de 2017. Em 2018, o [[g0032-lazarus-group|Lazarus Group]] utilizou o implante [[s0239-bankshot|Bankshot]] em ataques contra o setor financeiro turco, com spear-phishing direcionado a funcionários de bancos via documentos Word com exploits embutidos. O [[s0239-bankshot|Bankshot]] opera estabelecendo comunicação C2 via protocolos web padrão (HTTP/HTTPS), utilizando codificação não-padrão para camuflar o tráfego. Para persistência, instala-se como um serviço Windows (T1543.003) e manipula timestamps de arquivos para dificultar análise forense. O implante possui capacidades de coleta automática de arquivos, descoberta de processos e execução de comandos via API nativa do Windows. Técnicas de anti-análise incluem evasão de sandbox e deofuscação de payloads em memória. A atribuição ao [[g0032-lazarus-group|Lazarus Group]] (também conhecido como Hidden Cobra, APT38) é suportada por sobreposições técnicas com outras ferramentas da família HIDDEN COBRA e pela natureza dos alvos - instituições financeiras de alto valor. O Departamento de Tesouro dos EUA e o FBI emitiram alertas específicos sobre o [[s0239-bankshot|Bankshot]] como parte de campanhas norte-coreanas de espionagem financeira. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1106-native-api|T1106 - Native API]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar criação de serviços suspeitos via `sc.exe` ou chamadas diretas à API `CreateService` - **Sysmon Event ID 3** (Network Connection): identificar conexões HTTP/HTTPS saindo de processos não-navegadores para IPs/domínios desconhecidos com User-Agent atípico - **EDR**: alertas em `T1070.006` (Timestomp) - modificação de timestamps fora de contexto de instalação legítima; correlacionar com `T1543.003` (criação de serviço Windows por processo não-administrativo) - **Referência Sigma**: `proc_creation_win_sc_create_service.yml` (Sigma HQ) para detecção de criação anômala de serviços ## Relevância LATAM/Brasil Embora os ataques documentados do [[s0239-bankshot|Bankshot]] tenham visado principalmente o setor financeiro turco e instituições de países desenvolvidos, o [[g0032-lazarus-group|Lazarus Group]] possui histórico de operações contra bancos brasileiros e latino-americanos, incluindo o ataque ao Banco do Chile em 2018. A infraestrutura da SWIFT utilizada por bancos brasileiros foi alvo de campanhas correlacionadas ao mesmo grupo, tornando o [[s0239-bankshot|Bankshot]] uma ameaça relevante para o setor financeiro da região. Organizações bancárias no Brasil devem monitorar indicadores associados a implantes HIDDEN COBRA. ## Referências - [MITRE ATT&CK - S0239](https://attack.mitre.org/software/S0239)