> [!warning] Aviso Importante > Este playbook é um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. Não substitui um plano formal de Incident Response. Consulte sua equipe jurídica e de compliance antes de executar qualquer etapa de notificação. --- ## Visão Geral Trojans bancários representam a **principal ameaça ao setor financeiro brasileiro e latino-americano**. Este playbook cobre dois grupos mais relevantes: - **[[s0531-grandoreiro]]** - Trojan bancário de origem brasileira, ativo desde 2016, responsável por mais de 1.700 instituições financeiras e 276 carteiras de criptomoedas alvejadas em 45 países. Especializado em ataques de *overlay* de tela e keylogging contra clientes do sistema financeiro brasileiro. - **[[g0099-blind-eagle-apt-c-36]]** - APT-C-36, grupo com foco em Colômbia, Equador e países andinos. Utiliza Remcos, AsyncRAT, Gh0stCringe e variantes do Quasar para roubo de credenciais bancárias. Ambos utilizam [[t1566-phishing|T1566 — Phishing]] como vetor primário e combinam [[t1056-input-capture|T1056 — Input Capture]], [[t1113-screen-capture|T1113 — Screen Capture]] e [[t1055-process-injection|T1055 — Process Injection]] para comprometer credenciais bancárias de forma silenciosa. **Público-alvo:** Analistas de SOC, times de IR e equipes de segurança de instituições financeiras brasileiras ou com presença na América Latina. --- ## Fluxo de Resposta ao Incidente ```mermaid flowchart TD A([🚨 Alerta: Banking Trojan<br/>Detectado]) --> B{Tipo de\nCompromisso?} B -->|Host corporativo infectado| C[Isolar Host via EDR<br/>Network Containment] B -->|Credenciais bancárias expostas| D[Notificar Banco Imediatamente<br/>+ Bloquear Transações] B -->|Infecção em massa via phishing| E[Identificar Campanha<br/>de Phishing Ativa] C --> F[Coleta Forense<br/>do Host] D --> F E --> G[Bloquear URLs/Domínios<br/>de Phishing no Gateway] G --> F F --> H[Análise de Malware<br/>ANY.RUN / Sandbox] H --> I{Grandoreiro ou\nBlind Eagle?} I -->|Grandoreiro| J[Buscar Módulo de Overlay<br/>e Backdoor Delphi] I -->|Blind Eagle| K[Buscar Remcos/AsyncRAT<br/>e Repositório GitHub C2] I -->|Indeterminado| L[Análise Estática<br/>e Dinâmica Completa] J --> M[CONTENÇÃO] K --> M L --> M M --> N[Resetar Credenciais<br/>Bancárias Comprometidas] N --> O[Varredura em<br/>Outros Endpoints] O --> P[Erradicação e<br/>Recuperação] P --> Q([✅ Incidente Encerrado]) style A fill:#ff4444,color:#fff style D fill:#ff0000,color:#fff style Q fill:#00aa44,color:#fff style M fill:#ff9900,color:#000 ``` --- ## Diagrama de Comúnicação ```mermaid sequenceDiagram participant SOC as SOC Analyst participant IR as IR Lead participant Security as CISO/Security Manager participant Bank as Gerente do Banco participant Legal as Jurídico/DPO participant CERT as CERT.br / FEBRABAN SOC->>IR: T+0: Banking trojan detectado — host infectado IR->>Security: T+5min: Briefing inicial — tipo, escopo, dados em risco Security->>Bank: T+10min: Notificação urgente ao gerente da conta bancária Note over Security,Bank: Bloquear transações suspeitas imediatamente IR->>Legal: T+15min: Avaliação LGPD — credenciais de clientes expostas? Bank->>Bank: T+20min: Análise de transações recentes — estorno se necessário Legal->>CERT: T+24h: Notificação CERT.br (se malware ativo na organização) IR->>Security: T+2h: Relatório de contenção — hosts isolados, escopo Legal->>Security: T+4h: Parecer sobre notificação ANPD Security->>Legal: T+24h: Decisão sobre comunicação a clientes afetados IR->>Security: T+48h: Relatório de erradicação e recomendações ``` --- ## Contexto Brasil e LATAM ### Alvos Primários no Sistema Financeiro Brasileiro | Instituição | Vetor de Ataque Preferêncial | |-------------|------------------------------| | Itaú Unibanco | Overlay em internet banking, phishing por SMS | | Bradesco | Overlay de login, keylogging no app desktop | | Caixa Econômica Federal | Phishing de benefícios sociais (FGTS, Bolsa Família) | | Banco do Brasil | Phishing imitando notificações do PIX | | Nubank | Engenharia social via WhatsApp | | Inter | Phishing de boleto falso | ### Métodos de Phishing LATAM - **Impersonação da Receita Federal** - "Pendência fiscal - clique para regularizar" - **Impersonação do Banco Central** - "Novo sistema PIX - atualize seus dados" - **Impersonação de Correios** - "Encomenda retida - pague taxa de liberação" - **Phishing de CNPJ** - targeting corporativo via nota fiscal falsa - **WhatsApp Cloning** - hijack de conta WhatsApp para acesso a banking via app --- ## Indicadores de Comprometimento ### Grandoreiro - IoCs Comportamentais ``` # Processo Delphi suspeito com conexão HTTP para IP dinâmico # Arquivos de configuração em %APPDATA%\{GUID_randomizado}\ # DLLs injetadas: spoolsv.exe, explorer.exe, iexplore.exe # Domínios C2 Grandoreiro (históricos - válidar antes de usar) zonepc[.]site atualzs[.]xyz updaté-windows[.]biz ``` **Comportamentos característicos do Grandoreiro:** - Overlay de tela em cima do internet banking (janela com a mesma aparência do site real) - Captura de teclado via hook `SetWindowsHookEx` (EventID Sysmon 10) - Conexão HTTP GET periódica para IP com porta alta (>40000) - comando C2 - Processo com mutex `{GUID}` em formato `{8-4-4-4-12}` randomizado ### Blind Eagle (APT-C-36) - IoCs ``` # Arquivo RAT em %TEMP% ou %APPDATA%\Microsoft\Windows\ # GitHub RAW como canal C2 - github.com/user/repo/blob/main/config.txt # OneDrive/Google Drive como staging de payload # Extensões: .pdf.exe, .docx.exe (double extension trick) ``` **Indicadores Blind Eagle:** - Download de RAT a partir de repositório GitHub público - Comúnicação C2 via DNS over HTTPS (DoH) para `1.1.1.1` ou `8.8.8.8` - Criação de task agendada com nome imitando serviço Windows legítimo - Uso de `mshta.exe` ou `wscript.exe` para execução de scripts maliciosos --- ## Ferramentas Recomendadas ### Detecção | Ferramenta | Uso | Detalhe | |------------|-----|---------| | **ANY.RUN** | Sandbox interativo - análise de phishing e payloads LATAM | Submeter URL ou arquivo suspeito | | **Hatching Triage** | Sandbox automatizado - cobertura de famílias LATAM | API: `triage submit --url <url>` | | **VirusTotal** | Verificar hashes, URLs, domínios de C2 | `vt file <hash>` via CLI | | **URLScan.io** | Análise de URLs de phishing | Verificar screenshot e redirects | | **PhishTank** | Base de dados de URLs de phishing | Verificar domínios suspeitos | ### Forense de Endpoint | Ferramenta | Uso | Comando | |------------|-----|---------| | **Volatility 3** | Análise de processos injetados | `python3 vol.py -f mem.raw windows.malfind` | | **KAPE** | Coleta de artefatos - prefetch, registry, browser history | `kape.exe --tsource C: --tdest evidence\ --target BrowserHistory,Prefetch` | | **Autoruns** | Identificar persistência | `autorunsc.exe -a * -s -h -c -vt > autoruns.csv` | | **Process Hacker** | Análise de processos e DLLs injetadas | Interface gráfica - verificar módulos de processos suspeitos | ### Rede | Ferramenta | Uso | |------------|-----| | **Wireshark** | Filtro: `http.request.uri contains "config"` - detectar C2 Grandoreiro | | **Suricata** | Assinaturas ET para trojans bancários LATAM | | **Zeek** | Análise de conexões HTTP com baixo TTL e alto volume | ### SIEM | Ferramenta | Uso | |------------|-----| | **Splunk** | Correlation rules - detectar overlay, keylogging, processo suspeito | | **Microsoft Sentinel** | Workbook "Banking Trojan Detection" | | **Elastic SIEM** | Detection rules para famílias de malware LATAM | --- ## Checklist de Contenção - [ ] Confirmar infecção via EDR (CrowdStrike/SentinelOne/MDE) - identificar processo malicioso - [ ] Isolar host infectado via EDR (network containment) - **NÃO desligar** - [ ] Identificar usuário afetado - verificar quais contas bancárias foram acessadas - [ ] **Notificar imediatamente o banco** - bloquear acesso online e cartões como precaução - [ ] Revogar sessões ativas do internet banking nas últimas 24-48h - [ ] Verificar transações recentes - solicitar estorno se identificada fraude - [ ] Bloquear domínios/IPs de C2 identificados no firewall e proxy corporativo - [ ] Bloquear URL de phishing no e-mail gateway (Proofpoint/Mimecast/Microsoft Defender) - [ ] Identificar outros hosts que acessaram a mesma URL de phishing - varredura lateral - [ ] Coletar imagem forense do host com KAPE antes de reimaging - [ ] Acionar jurídico/DPO - credenciais bancárias comprometidas são dados pessoais (LGPD) - [ ] Preservar evidências: logs de acesso, e-mails de phishing, capturas de tela do malware --- ## Checklist de Erradicação - [ ] Identificar vetor de infecção - phishing? Download direto? USB? - [ ] Analisar e-mail de phishing original - extrair domínio, remetente, URL - [ ] Bloquear domínio de phishing no MX/e-mail gateway - [ ] Verificar se outros usuários receberam o mesmo e-mail - usar busca no Exchange/M365 - [ ] Remover e-mails de phishing ainda na caixa de outros usuários - [ ] Reimaging completo do host infectado - não tente limpar - [ ] Reinstalar sistema operacional e aplicações de um baseline limpo - [ ] Resetar credenciais de todos os serviços autenticados no host infectado - [ ] Verificar se credenciais comprometidas foram usadas em outros sistemas (AD, VPN, e-mail) - [ ] Atualizar assinaturas YARA/Sigma no EDR/SIEM com IoCs do malware identificado ### YARA Rule - Detecção de Grandoreiro ```yara rule Grandoreiro_Delphi_Banking_Trojan { meta: description = "Detects Grandoreiro banking trojan based on string patterns" author = "RunkIntel" reference = "https://securelist.com/grandoreiro-banking-trojan/" tags = "banking, latam, brazil, trojan" strings: $s1 = "zoneRemota" ascii wide $s2 = "EnviarDados" ascii wide $s3 = "CapturarTela" ascii wide $s4 = "GravarTeclas" ascii wide $mutex = { 7B 5B 30-39 5D 7B 38 7D 2D } // GUID mutex pattern condition: uint16(0) == 0x5A4D and 2 of ($s*) or $mutex } ``` --- ## Checklist de Recuperação - [ ] Reimaging do host infectado com imagem padrão corporativa - [ ] Instalar e configurar EDR no novo host antes de conectar à rede - [ ] Resetar senha de e-mail corporativo e outros serviços do usuário afetado - [ ] Habilitar MFA para acesso ao internet banking corporativo (se não habilitado) - [ ] Treinar o usuário afetado sobre reconhecimento de phishing - [ ] Enviar alerta de segurança para todos os usuários sobre a campanha de phishing ativa - [ ] Verificar e atualizar filtros anti-phishing no gateway de e-mail - [ ] Monitorar conta bancária afetada por 30 dias após incidente --- ## Indicadores a Buscar ### SIEM - Splunk - Overlay Bancário (Criação de Jánela Suspeita) ```spl index=sysmon EventCode=1 (ParentImage="*iexplore.exe" OR ParentImage="*chrome.exe" OR ParentImage="*firefox.exe") Image IN ("*cmd.exe", "*powershell.exe", "*mshta.exe", "*wscript.exe") | stats count by Computer, User, Image, ParentImage, CommandLine ``` ### SIEM - Splunk - Conexões HTTP para Portas Altas (C2 Grandoreiro) ```spl index=proxy | where dest_port > 40000 AND method="GET" | stats count by src_ip, dest_ip, dest_port, uri_path | where count > 5 | sort -count ``` ### KQL - Microsoft Sentinel - Processo Suspeito com GUID mutex ```kql DeviceProcessEvents | where ProcessCommandLine matches regex @"\{[0-9a-fA-F]{8}-[0-9a-fA-F]{4}-[0-9a-fA-F]{4}-[0-9a-fA-F]{4}-[0-9a-fA-F]{12}\}" | where InitiatingProcessFileName in~ ("cmd.exe", "powershell.exe", "mshta.exe", "wscript.exe") | project Timestamp, DeviceName, AccountName, ProcessCommandLine, InitiatingProcessFileName ``` ### Suricata - Regra para Grandoreiro C2 ``` alert http $HOME_NET any -> $EXTERNAL_NET any ( msg:"RunkIntel BANKING LATAM Grandoreiro C2 HTTP GET Pattern"; flow:established,to_server; content:"GET"; http_method; content:"/upd/"; http_uri; content:"User-Agent: Delphi"; http_header; sid:9001001; rev:1; classtype:trojan-activity; ) ``` --- ## Comúnicação ### Notificação ao Banco (T+10min) ``` Para: Gerente de conta / Central de segurança do banco Assunto: URGENTE — Possível comprometimento de credenciais bancárias Detectamos uma infecção por banking trojan em um de nossos endpoints. O usuário [nome/cargo] pode ter tido suas credenciais bancárias comprometidas. Solicitamos: 1. Bloqueio preventivo do acesso online à conta [número se disponível] 2. Revisão de transações nas últimas 48 horas 3. Estorno de qualquer transação não autorizada Nosso contato de segurança: [nome, telefone, e-mail] Número do incidente: [ID] ``` ### Aviso de Phishing para Usuários Internos ``` Para: Todos os usuários Assunto: ALERTA DE SEGURANÇA — Campanha de phishing ativa Identificamos uma campanha de phishing ativo impersonando [entidade]. O e-mail contém [descrição do e-mail] e leva a [domínio/URL]. SE VOCÊ CLICOU: contaté o SOC imediatamente pelo canal [telefone/Teams]. SE VOCÊ NÃO CLICOU: marque o e-mail como phishing e exclua. NÃO clique em links e NÃO abra anexos de e-mails suspeitos. ``` --- ## Lições Aprendidas ### Questões Obrigatórias 1. Como o usuário foi infectado? E-mail? Download? Site comprometido? 2. Houve transações financeiras não autorizadas? Qual o valor total? 3. Quantos outros usuários receberam o mesmo e-mail de phishing? 4. Os controles de e-mail gateway falharam em bloquear o phishing? 5. O EDR detectou o malware em tempo real ou apenas via análise? ### Métricas de Impacto | Métrica | Valor | |---------|-------| | Hosts infectados | | | Usuários afetados | | | Dados bancários comprometidos | | | Valor de transações fraudulentas | | | MTTD (tempo de detecção) | | | MTTC (tempo de contenção) | | ### Melhorias Recomendadas - [ ] Habilitar MFA para todos os acessos a internet banking - [ ] Implementar DNS filtering (Cisco Umbrella / Cloudflare for Teams) - [ ] Treinamento de conscientização anti-phishing trimestral (simulações) - [ ] Revisar e reforçar políticas de e-mail gateway - [ ] Implementar EDR com capacidade de rollback em todos os endpoints - [ ] Criar regra SIEM específica para overlay de tela bancário --- ## Referências - [[s0531-grandoreiro]] - perfil do grupo/malware - [[s0531-grandoreiro]] - análise técnica do trojan - [[g0099-blind-eagle-apt-c-36]] - perfil do grupo APT-C-36 - [[t1566-phishing|T1566 - Phishing]] - vetor primário LATAM - [[t1056-input-capture|T1056 - Input Capture]] - keylogging e overlay - [[t1113-screen-capture|T1113 - Screen Capture]] - captura de tela do trojan - [[t1055-process-injection|T1055 - Process Injection]] - técnica de injeção Grandoreiro - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - comunicação C2 via HTTP - [ESET Research - Grandoreiro Analysis](https://www.welivesecurity.com/en/eset-research/grandoreiro-banking-trojan-disrupted/) - [Securelist - Grandoreiro Banking Trojan](https://securelist.com/grandoreiro-banking-trojan/) - [Kaspersky LATAM - Blind Eagle Threat Profile](https://latam.kaspersky.com/blog/) - [FEBRABAN - Guia de Segurança Digital](https://febraban.org.br/segurança-digital/) --- *Última revisão: 2026-03-23 | Próxima revisão recomendada: 2026-09-23*