# TrickBot > Tipo: **trojan bancario / loader** · S0266 · [MITRE ATT&CK](https://attack.mitre.org/software/S0266) ## Visão Geral [[s0266-trickbot|TrickBot]] e um spyware trojan modular escrito em C++ que surgiu em setembro de 2016 como possível sucessor do [[s0024-dyre|Dyre]]. Desenvolvido e operado inicialmente pelo [[g0102-conti-group|Wizard Spider]], evoluiu de um simples trojan bancario para uma plataforma de acesso inicial completa, usada como precursor para operações de ransomware do tipo "big game hunting" com [[s0446-ryuk|Ryuk]] e [[conti|Conti]]. O TrickBot opera por módulos plugaveis: o nucleo realiza reconhecimento e persistência, enquanto módulos especializados executam browser hijacking ([[t1185-browser-session-hijacking|T1185]]), roubo de credenciais ([[t1552-001-credentials-in-files|T1552.001]]), movimento lateral via VNC ([[t1021-005-vnc|T1021.005]]) e até instalacao de bootkit ([[t1542-003-bootkit|T1542.003]]). A infraestrutura principal foi desmantelada em outubro de 2020 por acao coordenada da Microsoft e parceiros internacionais, mas seu legado persiste via [[s0534-bazar|BazarLoader]] e [[s0504-anchor|Anchor]], sucessores funcionais que continuam ativos. **Plataformas:** Windows --- ## Como Funciona O TrickBot opera em tres estagios tipicos dentro da cadeia Emotet-TrickBot-Ransomware: 1. **Entrega via Emotet:** O [[s0367-emotet|Emotet]] funciona como dropper primario, enviando spam malicioso com documentos Office com macro que baixam e executam o TrickBot via PowerShell ([[t1059-001-powershell|T1059.001]]). 2. **Reconhecimento bancario e roubo de credenciais:** Após instalacao como Windows Service ([[t1543-003-windows-service|T1543.003]]) via Scheduled Task ([[t1053-005-scheduled-task|T1053.005]]), o módulo de browser hijacking ([[t1185-browser-session-hijacking|T1185]]) injeta código em sessoes de internet banking para capturar credenciais. Módulos de descoberta coletam informacoes do sistema ([[t1082-system-information-discovery|T1082]]), usuarios ([[t1033-system-owneruser-discovery|T1033]]) e credenciais em arquivos ([[t1552-001-credentials-in-files|T1552.001]]). 3. **Entrega de ransomware:** Após reconhecimento completo, o [[g0102-conti-group|Wizard Spider]] usa VNC ([[t1021-005-vnc|T1021.005]]) para acesso manual e deploya [[s0446-ryuk|Ryuk]] ou [[conti|Conti]] em toda a rede corporativa - priorizando alvos de alto valor (hospitais, bancos, orgaos governamentais). O módulo bootkit ([[t1542-003-bootkit|T1542.003]]) garante persistência em nivel de firmware, enquanto canais de fallback ([[t1008-fallback-channels|T1008]]) e software packing ([[t1027-002-software-packing|T1027.002]]) dificultam remoção e detecção. --- ## Attack Flow ```mermaid graph TB A["Emotet Dropper<br/>Spam malicioso PT-BR<br/>Documento Office com macro"] --> B["Execução TrickBot<br/>PowerShell T1059.001<br/>Download via C2 Emotet"] B --> C["Persistência<br/>Scheduled Task T1053.005<br/>Windows Service T1543.003"] C --> D["Reconhecimento<br/>System e User Discovery<br/>Coleta de credenciais"] D --> E["Módulo Banking<br/>Browser hijacking T1185<br/>Intercept sessoes bancarias"] E --> F["C2 TrickBot<br/>Canais fallback T1008<br/>Exfiltração T1041"] F --> G["Big Game Hunting<br/>Ryuk / Conti deploy<br/>Ransomware corporativo"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C,E install class D recon class F c2 class G impact ``` --- ## Timeline ```mermaid timeline title TrickBot - Historico e Evolução Set 2016 : TrickBot surge como sucessor do Dyre 2018 : Expansao para bancos brasileiros e LATAM 2019-2020 : Parceria com Emotet para big game hunting Out 2020 : Microsoft e parceiros desmantelam infraestrutura 2021 : BazarLoader e Anchor surgem como sucessores Ján 2022 : Conti leak expoe relacao TrickBot-Conti 2022 : Wizard Spider efetivamente dissolve TrickBot ``` --- ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell | | Execution | [[t1106-native-api\|T1106]] | Native API | | Execution | [[t1559-001-component-object-model\|T1559.001]] | Component Object Model | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Windows Service | | Persistence | [[t1542-003-bootkit\|T1542.003]] | Bootkit (nivel firmware) | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Obfuscated Files or Information | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Software Packing | | Credential Access | [[t1185-browser-session-hijacking\|T1185]] | Browser Session Hijacking | | Credential Access | [[t1552-001-credentials-in-files\|T1552.001]] | Credentials in Files | | Discovery | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | System Owner/User Discovery | | Lateral Movement | [[t1021-005-vnc\|T1021.005]] | VNC | | C2 | [[t1008-fallback-channels\|T1008]] | Fallback Channels | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel | --- ## Relevância LATAM O [[s0266-trickbot|TrickBot]] foi amplamente utilizado como loader de acesso inicial em ataques direcionados a **instituicoes financeiras brasileiras entre 2018 e 2021**. A cadeia Emotet-TrickBot-Ryuk/Conti foi responsavel por alguns dos ataques de ransomware mais severos registrados no Brasil nesse período. O CERT.br documentou ondas de infecção via phishing em portugues brasileiro com temas fiscais (SEFAZ, Receita Federal) e bancarios (boletos, extratos), atingindo bancos, seguradoras e orgaos governamentais. O módulo de browser hijacking do TrickBot representou ameaça direta ao sistema financeiro brasileiro - interceptando sessoes autenticadas de internet banking sem que os usuarios percebessem. Com o alto volume de transações digitais no Brasil (PIX, TED, internet banking corporativo), o impacto potencial de cada infecção era multiplicado. O setor de saude brasileiro também foi alvo, seguindo o padrao global do [[g0102-conti-group|Wizard Spider]] de atacar hospitais durante 2020-2021. Embora o TrickBot tenha sido desmantelado, seu legado persiste: o código foi reaproveitado pelo [[s0534-bazar|BazarLoader]] e pelo [[s0504-anchor|Anchor]], que continuam operando como loaders para grupos de ransomware que ainda atuam na America Latina. **Setores impactados:** [[financial|financeiro]] · [[healthcare|saude]] · [[government|governo]] --- ## Detecção - **Emotet Dropper Detection** - Monitorar execução de macros em documentos Office recebidos por email seguida de chamadas PowerShell com download de payloads remotos. - **TrickBot Service Creation** - Alertar para criação de Windows Services com nomes suspeitos ou randomizados que iniciam executaveis em `%AppData%` ou `%Temp%`. - **Browser Database Access** - Detectar processos externos acessando SQLite databases de credenciais de browsers (Chrome `Login Data`, Firefox `logins.json`). - **VNC Lateral Movement** - Monitorar conexoes VNC internas entre workstations corporativas em horarios incomuns - padrao tipico de acesso manual do Wizard Spider. ```sigma title: TrickBot Browser Credential Theft status: stable logsource: category: file_access product: windows detection: selection_browser_db: TargetFilename|contains: - '\AppData\Local\Google\Chrome\User Data\Default\Login Data' - '\AppData\Roaming\Mozilla\Firefox\Profiles\' - '\logins.json' filter_browsers: Image|endswith: - '\chrome.exe' - '\firefox.exe' condition: selection_browser_db and not filter_browsers level: high tags: - attack.credential_access - attack.t1185 - code/distill ``` --- ## Referências - [1](https://attack.mitre.org/software/S0266) MITRE ATT&CK - S0266 TrickBot - [2](https://www.cybereason.com/blog/research/brazilian-financial-malware-banking-europe-south-america) Cybereason - Brazilian Financial Malware Targeting LATAM - [3](https://tiinside.com.br/en/02/10/2025/brasil-concentra-61-das-deteccoes-de-trojans-bancarios-na-al-aponta-eset/) ESET - Brazil 61% of Banking Trojan Detections in LATAM 2024 - [4](https://tiinside.com.br/en/09/06/2025/brasil-se-torna-epicentro-de-ataques-de-trojans-bancarios-na-america-latina/) Kaspersky - Brazil Epicenter of Banking Trojans in LATAM 2025