# Dyre > [!danger] Precursor do Wizard Spider - Trojan Bancario que Gerou o Ryuk > O Dyre (Dyreza) foi o trojan bancario mais avancado de 2014-2015, responsavel por prejuizos superiores a **USD 1 bilhao** em todo o mundo. A campanha "Dyre Wolf" da IBM X-Force documentou transferencias fraudulentas de **mais de USD 1 milhao por vitima** através de engenharia social pós-infecção. Os operadores do Dyre - uma equipe criminosa russa presa em novembro de 2015 - evoluiram posteriormente para o grupo [[g0102-conti-group|Wizard Spider]], responsavel pelo ransomware [[s0446-ryuk|Ryuk]] e [[conti|Conti]]. O Dyre e assim o ancestor direto dos maiores ataques de ransomware da historia. ## Visão Geral [[s0024-dyre|Dyre]] (também conhecido como Dyzap e Dyreza) e um trojan bancario sofisticado emergido em junho de 2014, distribuido através de e-mails de phishing contendo o downloader [[upatre|Upatre]]. Operado pelo que viria a se tornar o [[g0102-conti-group|Wizard Spider]], o Dyre rapidamente dominou o panorama de ameaças financeiras até sua disarticuacao parcial em novembro de 2015, quando autoridades russas prenderam os operadores em Moscou. O Dyre inovou ao implementar uma técnica de **man-in-the-browser (MitB)** que bypassava SSL/TLS completamente - interceptando dados do navegador antes da criptografia TLS ser aplicada, tornando inutil a proteção HTTPS das instituicoes financeiras. Esta abordagem, combinada com web injects configurados para centenas de bancos simultaneamente, fez do Dyre uma das ferramentas financeiras mais perigosas de sua epoca. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan (Man-in-the-Browser) | | **Linguagem** | C++ (core), configuração externa em JSON | | **Plataformas** | Windows | | **MITRE ID** | S0024 | | **Primeira aparicao** | Junho 2014 | | **Desativacao** | Novembro 2015 (prisao dos operadores) | | **Legado** | Ancestor do TrickBot, Ryuk e Conti (Wizard Spider) | | **Distribuição** | Upatre downloader + Cutwail botnet | | **Bancos alvo** | 500+ instituicoes com web injects configurados | ## Como Funciona **Cadeia de infecção:** O Dyre utiliza o downloader [[upatre|Upatre]] como primeiro estagio - tipicamente entregue via e-mail de phishing com link para um executavel ou documento malicioso. O Upatre e distribuido em larga escala pelo **botnet Cutwail** (um dos maiores botnets de spam da historia). Após download e execução, o Upatre decripta e executa o payload Dyre. **Técnica MitB - Bypass de SSL:** A técnica central do Dyre e a interceptação de dados do navegador *antes* do SSL ser aplicado: 1. O Dyre injeta DLL em processos de navegadores (Internet Explorer, Firefox, Chrome) via [[t1055-001-dynamic-link-library-injection|T1055.001]] 2. Hooks sao instalados em funções de rede (`PR_Write` do Firefox, `CryptEncMessage` do IE) que sao chamadas *antes* da criptografia 3. Dados de formularios bancarios (login, senha, tokens OTP) sao capturados em plaintext 4. Os dados capturados sao enviados ao C2 via canal separado criptografado **Web Injects - Engenharia Social Avancada:** O Dyre utiliza um sistema modular de **web injects** - scripts JavaScript injetados nas paginas bancarias das vitimas: - Modificacao em tempo real de paginas de login para solicitar fatores adicionais (token SMS, perguntas de segurança) - Redirecionamento transparente de transferencias para contas dos atacantes (money mules) - Exibicao de mensagens falsas de "manutenção" enquanto a fraude ocorre em segundo plano **Infraestrutura C2 resiliente:** O Dyre emprega múltiplos mecanismos para garantir comunicação C2: - **STUN (Session Traversal Utilities for NAT):** protocolo originalmente para VoIP, usado para descobrir o IP real da vitima - **I2P (Invisible Internet Project):** rede anonimizadora como canal C2 alternativo quando o primario e bloqueado - **DGA (Domain Generation Algorithm):** geracao algoritmica de dominios como fallback - Comúnicação primaria via HTTPS com certificados proprios, dificultando inspecao SSL corporativa **Persistência e evasão:** - Cria servico Windows com nome aleatorio para persistência após reinicializacao - Scheduled Task como mecanismo de persistência secundario - Verificacoes de virtualizacao para evitar análise em sandboxes (CPUID, presenca de VMware) - Software packing customizado para evasão de antivirus ## Attack Flow ```mermaid graph TB A["Cutwail Botnet<br/>E-mail de phishing em massa<br/>Link ou anexo malicioso"] --> B["Upatre Downloader<br/>Primeiro estagio<br/>Decripta e executa Dyre"] B --> C["Dyre Instalacao<br/>Servico Windows criado<br/>Scheduled Task persistência"] C --> D["DLL Injection<br/>Hookeia navegadores<br/>IE / Firefox / Chrome"] D --> E["SSL Bypass<br/>Interceptação pre-criptografia<br/>Captura de credenciais em plaintext"] E --> F["Web Injects<br/>Paginas bancarias modificadas<br/>Solicita OTP e token SMS"] F --> G["Exfiltração C2<br/>Credenciais + sessao ativa<br/>STUN / I2P / DGA fallback"] G --> H["Fraude bancaria<br/>Transferencias para money mules<br/>Engenharia social por telefone"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef install fill:#e67e22,stroke:#d35400,color:#fff classDef intercept fill:#8e44ad,stroke:#7d3c98,color:#fff classDef fraud fill:#2c3e50,stroke:#1a252f,color:#fff class A,B delivery class C,D install class E,F intercept class G,H fraud ``` ## Timeline ```mermaid timeline title Dyre - Ascensao e Queda 2014-2015 2014-06 : Dyre identificado pela primeira vez : Distribuido via Upatre downloader : Botnet Cutwail como vetor principal 2014-10 : Dell SecureWorks documenta Dyre Wolf : 500 bancos com web injects configurados : Prejuizos de USD 1M por vitima corporativa 2015-03 : IBM X-Force publica análise Dyre Wolf : Campanhas de engenharia social por telefone : Fraudes de transferencias de alto valor 2015-06 : Pico de atividade - maior botnet bancario ativo : Upatre atualizado para evasão de AV : I2P adicionado como C2 alternativo 2015-11 : Operação russa prende operadores em Moscou : Atividade do Dyre cessa abruptamente : Infraestrutura desativada 2016 : Sobreviventes evoluem para TrickBot : TrickBot herda arquitetura do Dyre : Base para Ryuk e Conti (Wizard Spider) ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | E-mails de phishing com link para Upatre | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts de pos-infecção e movimento lateral | | Persistência | [[t1543-003-windows-service\|T1543.003]] | Servico Windows com nome aleatorio | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task como mecanismo secundario | | Evasão | [[t1027-002-software-packing\|T1027.002]] | Packing customizado para evasão de AV | | Evasão | [[t1497-001-system-checks\|T1497.001]] | Verificacoes de virtualizacao anti-sandbox | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofuscação de payload em runtime | | Injecao de Processo | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | DLL injection em navegadores para hookear SSL | | Injecao de Processo | [[t1055-process-injection\|T1055]] | Processo injection para persistência e evasão | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Configuração de rede da vitima | | Descoberta | [[t1518-software-discovery\|T1518]] | Identificação de bancos instalados e softwares | | Coleta | [[t1074-001-local-data-staging\|T1074.001]] | Staging de dados antes de exfiltração | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Credenciais bancarias via canal C2 criptografado | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS para comunicação C2 primaria | ## Relevância LATAM/Brasil O Dyre em si nunca teve campanhas documentadas específicamente voltadas ao Brasil - seu foco era o mercado bancario anglofono (EUA, UK, Australia). Porém, sua relevância para o Brasil e profunda por dois aspectos: **Legado direto - Wizard Spider e ransomware:** O grupo criminoso que operou o Dyre evoluiu para o [[g0102-conti-group|Wizard Spider]], responsavel pelo ransomware [[s0446-ryuk|Ryuk]] e [[conti|Conti]]. Multiplas organizacoes brasileiras foram vitimas de Ryuk e Conti em 2020-2022, incluindo setores de saúde, governo e financeiro. O Dyre e assim o "avô" dos ataques de ransomware que afetaram o Brasil. **Modelo de ataque replicavel:** A técnica de MitB com bypass de SSL e web injects foi amplamente copiada por trojans bancarios brasileiros: - O [[guildma|Guildma]] e outros trojans LATAM adotaram mecanismos similares de interceptação de sessao bancaria - Grupos de crime cibernético brasileiros estudaram e adaptaram as técnicas do Dyre para o mercado local - A combinacao de phishing em massa + injecao de navegador permanece sendo o vetor dominante de fraude bancaria no Brasil > [!info] Legado Tecnico > A arquitetura modular de web injects do Dyre influenciou diretamente o TrickBot (2016), que por sua vez foi o loader primario do Ryuk e Conti. Entender o Dyre e entender a genealogia do maior ecossistema de ransomware da historia. ## Detecção e Defesa **Indicadores de compromisso (historicos):** - Servico Windows com nome de 8 caracteres aleatorios sem descrição - Processos filhos nao-esperados de `svchost.exe` - Trafego HTTPS para IPs sem hostname DNS reverso - Conexoes STUN (porta UDP 3478) de processos bancarios - Presenca do arquivo `%AppData%\Upatre-*` (downloader) **Detecção comportamental:** - Alertar sobre injecao de código em `iexplore.exe`, `firefox.exe` ou `chrome.exe` por processos nao-irmãos (T1055.001) - Monitorar criação de servicos Windows por processos nao-instaladores - Detectar chamadas a `PR_Write` (NSS/Firefox) hookadas por DLL nao-assinada - Alertar sobre trafego UDP na porta 3478 (STUN) vindo de processos bancarios **Mitigacoes:** - Usar versoes modernas de navegadores com sandbox (Chrome, Edge) - mais resistentes a DLL injection - Extended Validation (EV) certificates e certificaté pinning nas aplicações bancarias corporativas - Segmentacao de rede para estacoes de trabalho financeiras - impede comunicação C2 direta - MFA de segundo fator fora do dispositivo comprometido (token hardware, app separado) ## Referências - [1](https://www.ibm.com/reports/threat-intelligence) IBM X-Force - Dyre Wolf Campaign: USD 1M Losses Per Victim (2015) - [2](https://attack.mitre.org/software/S0024/) MITRE ATT&CK - S0024 Dyre - [3](https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Dyreza-AQ/detailed-analysis.aspx) Sophos - Dyreza Technical Analysis - [4](https://www.secureworks.com/research/dyre-banking-trojan) Dell SecureWorks CTU - Dyre Banking Trojan Analysis (2015) - [5](https://www.zdnet.com/article/russian-cybercriminals-behind-dyre-banking-trojan-arrested-in-moscow/) ZDNet - Russian Cybercriminals Behind Dyre Arrested in Moscow (2015) - [6](https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre) Malpedia - Dyre Malware Family