# Ursnif > Tipo: **malware** · S0386 · [MITRE ATT&CK](https://attack.mitre.org/software/S0386) ## Descrição [[s0386-ursnif|Ursnif]] é um trojan bancário e variante do malware Gozi, observado sendo distribuído por meio de exploit kits automatizados, anexos de spearphishing e links maliciosos. O [[s0386-ursnif|Ursnif]] está associado principalmente ao roubo de dados, mas variantes também incluem componentes (backdoors, spyware, injetores de arquivos, etc.) capazes de uma ampla variedade de comportamentos maliciosos, tornando-o uma das famílias de malware financeiro mais versáteis e duradouras. Do ponto de vista técnico, o Ursnif utiliza hooking de API de credenciais para interceptar dados de autenticação em tempo real - incluindo credenciais bancárias e de e-mail - antes que sejam cifradas. Emprega técnicas de anti-sandbox baseadas em tempo, injeção de código via thread local storage e comúnicações multi-hop via proxy para dificultar rastreamento. O malware usa o registro do Windows para persistência e codifica dados exfiltrados antes de enviá-los ao servidor C2. O Ursnif tem sido vinculado ao grupo [[g0127-ta551|TA551]] e é frequentemente distribuído como parte de campanhas de malspam de alto volume. Sua natureza modular e código-fonte que foi vazado públicamente em 2015 levaram ao surgimento de númerosas variantes, incluindo o Dreambot, dificultando a atribuição e tornando-o uma ameaça persistente no ecossistema de malware financeiro global. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1106-native-api|T1106 - Native API]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1559-001-component-object-model|T1559.001 - Component Object Model]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1132-data-encoding|T1132 - Data Encoding]] - [[t1055-005-thread-local-storage|T1055.005 - Thread Local Storage]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Grupos que Usam - [[g0127-ta551|TA551]] ## Detecção A detecção do Ursnif deve focar em hooking de funções de API relacionadas a credenciais (como `PFXImportCertStore`, `CryptProtectData`) por processos de navegador, criação de chaves de registro de auto-execução suspeitas e injeção de código em processos legítimos. Análise de tráfego de rede para padrões de beacon codificado e uso de proxies intermediários são também relevantes. Soluções de EDR com capacidade de análise comportamental são mais eficazes que detecção por assinatura para variantes novas. ## Relevância LATAM/Brasil O Ursnif foi documentado em campanhas direcionadas a instituições financeiras no Brasil e na Argentina, sendo distribuído frequentemente por e-mails de phishing em português com anexos maliciosos ou links para sites comprometidos. O setor bancário brasileiro, um dos maiores alvos de malware financeiro no mundo, tem histórico de enfrentar variantes do Gozi/Ursnif. A natureza modular e o código-fonte público desta família tornam-na uma referência obrigatória para equipes de segurança de instituições financeiras na região. ## Referências - [MITRE ATT&CK - S0386](https://attack.mitre.org/software/S0386)