s0484-carberp - RunkIntel

# Carberp > Tipo: **banking-trojan** · S0484 · [MITRE ATT&CK](https://attack.mitre.org/software/S0484) ## Cadeia de Infecao ```mermaid graph TB A["🎯 Infecção inicial Blackhole exploit kit Vulnerabilidades Java/Browser"] --> B["💥 Escalada de privilegio MS10-073 + MS10-092 T1068 - 4 CVEs explorados"] B --> C["🔧 Bootkit instalado Rootkit user-mode T1014 Persistência pre-OS T1542.003"] C --> D["🏦 Fraude bancaria API hooking T1056.004 Browser session hijack T1185"] D --> E["📡 Exfiltração C2 HTTP com XOR encryption VNC session manual T1021.005"] classDef delivery fill:#e74c3c,color:#fff classDef privesc fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef fraud fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff class A delivery class B privesc class C persist class D fraud class E c2 ``` ## Descrição [[s0484-carberp|Carberp]] e um trojan bancario e plataforma de roubo de credenciais ativo desde pelo menos 2009, notorio por ter sido considerado o principal malware atacando clientes de bancos russos em seu período de pico. O código-fonte do [[s0484-carberp|Carberp]] foi vazado online em 2013, e subsequentemente utilizado como fundacao para o backdoor [[g0008-carbanak|Carbanak]] - um dos malwares bancarios mais devastadores da historia, responsavel por mais de 1 bilhao de dólares roubados de instituicoes financeiras globais. O grupo criminoso por tras do Carberp tinha receita semanal estimada em varios milhões de dólares, com renda proveniente principalmente de fraude em sistemas de internet banking corporativos russos. O [[s0484-carberp|Carberp]] evoluiu significativamente ao longo de sua vida útil. A versao original era um trojan de roubo de credenciais com funcionalidade rootkit para evasão. Versoes subsequentes adicionaram plugins, incluindo módulo para desabilitar antivirus da maquina infectada e eliminar outros malwares concorrentes. A versao mais sofisticada incorporou bootkit ([[t1542-003-bootkit|T1542.003]]) - um dos primeiros malwares a usar essa técnica alem do TDL4 e Rovnix - que instala um driver de kernel capaz de injetar DLLs maliciosas em processos do sistema, garantindo persistência que sobrevive a formatacao de disco. O bootkit exigia escalada de privilegio, obtida via quatro vulnerabilidades CVE distintas (MS10-073, MS10-092, MS11-011 e vulnerabilidade .NET Runtime). A técnica central de fraude bancaria do [[s0484-carberp|Carberp]] era o hooking de APIs Windows para interceptar credenciais de autenticação em tempo real ([[t1056-004-credential-api-hooking|T1056.004]]) e o sequestro de sessoes SSL de internet banking ([[t1185-browser-session-hijacking|T1185]]). Para transações de alto valor, o grupo controlava remotamente a maquina infectada via VNC ([[t1021-005-vnc|T1021.005]]) para executar transferencias manualmente. O ciframento customizado com chave criptografica aleatoria (nao estática) - uma novidade na epoca - dificultava análise de trafego e atribuicao. **Plataformas:** Windows ## Diagrama de Plugins ```mermaid graph TB subgraph Carberp_Ecosystem CORE["Carberp Core Rootkit + Bootkit T1014 + T1542.003"] AV["Plugin Anti-AV Desabilita segurança T1562.001"] CRED["Plugin Credenciais API hooking + Browser T1056.004 + T1185"] VNC["Plugin VNC Controle remoto T1021.005"] FACEBOOK["Plugin Facebook Ransomware voucher Engenharia social"] end CORE --> AV CORE --> CRED CORE --> VNC CORE --> FACEBOOK ``` ## Técnicas Utilizadas - [[t1542-003-bootkit|T1542.003 - Bootkit]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1021-005-vnc|T1021.005 - VNC]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1055-004-asynchronous-procedure-call|T1055.004 - Asynchronous Procedure Call]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] ## Detecao A detecao do [[s0484-carberp|Carberp]] e seus derivados baseia-se em monitoramento de hooking de APIs Windows criticas para autenticação - processos nao relacionados a segurança que hookeiam funções de autenticação como LsaLogonUser, NtProtectVirtualMemory ou Winlogon sao suspeitos. Detectar sessoes VNC originadas de processos com padrao incomum de trafego de rede. Monitorar modificacoes no MBR (Master Boot Record) e setor de boot - o bootkit altera o MBR para persistência pre-OS ([[t1542-003-bootkit|T1542.003]]). Regras de EDR detectando injecao via APC queue em processos do Explorer sao eficazes. Variantes derivadas do código-fonte vazado do [[s0484-carberp|Carberp]] circulam em ecossistemas de crime cibernetico russo e LATAM - manter assinaturas de AV atualizadas para familias baseadas no Carberp. ## Relevância LATAM/Brasil O vazamento do código-fonte do [[s0484-carberp|Carberp]] em 2013 democratizou o acesso a técnicas de bootkit e hooking bancario antes exclusivas de grupos criminosos altamente capitalizados. No Brasil, onde o crime cibernetico financeiro e altamente sofisticado, derivados do código Carberp foram adaptados para o ecossistema bancario local. A genealogia [[s0484-carberp|Carberp]] -> [[g0008-carbanak|Carbanak]] -> grupos de crime organizado financeiro tem relevância direta para bancos e operadores de internet banking brasileiros. A técnica de VNC para controle manual de transações em maquinas infectadas e um padrao observado em campanhas brasileiras de RAT bancario, demonstrando influencia das técnicas do Carberp no ecossistema local de crime cibernetico. ## Referências - [1](https://attack.mitre.org/software/S0484/) MITRE ATT&CK - Carberp S0484 - [2](https://www.eset.com/fileadmin/eset/US/resources/docs/white-papers/white-papers-win-32-carberp.pdf) ESET - Win32/Carberp - Technical Analysis (2011) - [3](https://www.kaspersky.com/blog/the-big-four-banking-trojans/2956/) Kaspersky - The Big Four Banking Trojans (2020)