s0530-melcoz - RunkIntel

# Melcoz > Tipo: **malware** · S0530 · [MITRE ATT&CK](https://attack.mitre.org/software/S0530) ## Descrição [[s0530-melcoz|Melcoz]] é uma família de trojan bancário construída a partir da ferramenta de código aberto Remote Access PC (RAC), um software de acesso remoto legítimo cujas capacidades foram repropositadas para fraude financeira. O [[s0530-melcoz|Melcoz]] foi observado pela primeira vez em ataques no Brasil em 2018 e, desde então, expandiu-se para Chile, México, Espanha e Portugal, seguindo o padrão de expansão característica dos banking trojans LATAM para mercados ibero-americanos. O Melcoz é rastreado pela Kaspersky como parte do grupo de ameaças Prilex/Tetrade LATAM. O Melcoz utiliza manipulação de dados transmitidos ([[t1565-002-transmitted-data-manipulation|T1565.002]]) para interceptar e modificar transações bancárias em tempo real - uma capacidade particularmente poderosa contra sistemas de home banking. O malware usa AutoHotKey/AutoIT ([[t1059-010-autohotkey-autoit|T1059.010]]) para automação e Msiexec ([[t1218-007-msiexec|T1218.007]]) como LOLBin de execução. O browser session hijacking ([[t1185-browser-session-hijacking|T1185]]) permite controle de sessões bancárias autenticadas, enquanto clipboard data ([[t1115-clipboard-data|T1115]]) captura endereços de carteiras de criptomoeda. Credenciais de navegadores são roubadas via [[t1555-003-credentials-from-web-browsers|T1555.003]] e a cadeia de infecção usa spearphishing com link ([[t1566-002-spearphishing-link|T1566.002]]) e arquivo MSI como payload. O Melcoz teve origem explícita em ataques ao Brasil e representa uma das ameaças financeiras mais relevantes para o ecossistema bancário brasileiro. A expansão para Espanha e Portugal, além de Chile e México, indica que operadores com conhecimento do sistema financeiro brasileiro e ibero-americano estão por trás das operações. O Kaspersky atribui o Melcoz a grupos criminosos brasileiros especializados em fraude financeira digital. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1565-002-transmitted-data-manipulation|T1565.002 - Transmitted Data Manipulation]] - [[t1059-010-autohotkey-autoit|T1059.010 - AutoHotKey & AutoIT]] - [[t1218-007-msiexec|T1218.007 - Msiexec]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] ## Referências - [MITRE ATT&CK - S0530](https://attack.mitre.org/software/S0530)