proc-registry-run-keys-banking-trojans

# PROC - Registry Run Keys: Persistência de Banking Trojans Brasileiros > [!danger] Persistência via Registry Run Keys > Banking trojans brasileiros - **Grandoreiro**, **Mekotio**, **Casbaneiro** e **Astaroth/Guildma** - utilizam chaves de registro Run/RunOnce e a pasta Startup para garantir execução automática a cada logon. Essa técnica não requer privilégios administrativos, tornando-a o mecanismo de persistência preferido do ecossistema de trojans bancários da América Latina. ## Visão Geral A técnica [[ Startup Folder]] é um dos mecanismos de persistência mais antigos e confiáveis do Windows. Programas registrados nas chaves `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ou `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` são executados automaticamente quando o usuário faz logon no sistema. A pasta Startup (`%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup`) oferece funcionalidade equivalente. Para o ecossistema de banking trojans brasileiros, essa técnica é particularmente atrativa por três razões fundamentais. Primeiro, **não requer elevação de privilégios** - a chave `HKCU\...\Run` é gravável pelo usuário corrente, dispensando exploits de escalação ou bypass de UAC. Segundo, é **extremamente confiável** - o Windows executa esses programas em todo logon sem exceção. Terceiro, é **simples de implementar** - uma única chamada de API (`RegSetValueEx`) ou comando PowerShell é suficiente. O Brasil é o epicentro global de desenvolvimento de banking trojans, com quatro famílias dominantes: [[grandoreiro|Grandoreiro]] (Delphi, overlay bancário com controle remoto), [[mekotio|Mekotio]] (AutoIt/Delphi, múltiplas camadas de ofuscação), [[Metamorfo]] (cadeias MSI complexas com DLL sideloading), e [[Guildma]] (técnicas fileless combinadas com LOLBins). Todas utilizam Registry Run Keys como persistência primária, frequentemente combinada com [[t1574-002-dll-side-loading|T1574.002 - DLL Side-Loading]] para evadir detecção. A adoção massiva do **PIX** como sistema de pagamento instantâneo no Brasil amplificou o impacto dessas ameaças, pois transações PIX são irreversíveis e instantâneas - o cenário ideal para fraude bancária automatizada. Os temas de phishing exploram a cultura fiscal brasileira: notas fiscais eletrônicas (NFe), boletos bancários, intimações da Receita Federal e notificações do SERASA. ## Attack Flow ```mermaid graph TB A["📧 Phishing Email Tema: NFe, boleto, SERASA"] --> B["📥 Download ZIP/RAR Hospedado em cloud legítima"] B --> C["⚙️ Instalador MSI/VBS Extrai payload criptografado"] C --> D["📦 DLL Sideloading Binário legítimo carrega DLL maliciosa"] D --> E["🔑 Registry Run Key Criada HKCU...Run ou Startup folder"] E --> F["🔄 Próximo Logon Payload executado automaticamente"] F --> G["🏦 Overlay Bancário Ativo Monitora janelas de internet banking"] G --> H["💳 Captura de Credenciais Transferência PIX fraudulenta"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef persist fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef impact fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 class A,B neutral class C,D attack class E,F persist class G,H impact ``` **Legenda:** [[t1566-001-spearphishing-attachment|T1566.001]] (phishing) - [[t1574-002-dll-side-loading|T1574.002]] (sideloading) - [[t1547-001-registry-run-keys|T1547.001]] (persistência, em laranja) - [[t1056-input-capture|T1056]] (overlay/captura) ## Como Funciona ### Caminhos de Registro Utilizados Os banking trojans brasileiros priorizam chaves de usuário (`HKCU`) sobre chaves de máquina (`HKLM`) para evitar a necessidade de privilégios elevados: | Chave de Registro | Escopo | Requer Admin | |---|---|---| | `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` | Usuário corrente | Não | | `HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce` | Execução única | Não | | `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` | Todos os usuários | Sim | | `%APPDATA%\...\Startup` (pasta) | Usuário corrente | Não | ### Padrões por Família de Malware **Grandoreiro:** Cria entradas em `HKCU\...\Run` apontando para DLLs Delphi armazenadas em `%APPDATA%\{NomeAleatorio}\`. Os nomes dos valores de registro mimetizam software legítimo - exemplos observados incluem `JavaUpdateScheduler`, `AdobeARMService` e `ChromeUpdater`. O payload é uma DLL carregada via `rundll32.exe` ou por um binário legítimo assinado (DLL sideloading via [[t1574-002-dll-side-loading|T1574.002]]). **Mekotio:** Utiliza scripts AutoIt compilados que se registram tanto na chave `Run` quanto na pasta Startup como redundância. O caminho do payload tipicamente reside em `C:\Users\{usuario}\AppData\Local\{GUID}\` com nomes como `svchost.exe` ou `csrss.exe` para confundir analistas. Algumas variantes empregam [[t1059-005-visual-basic|T1059.005 - Visual Basic]] para criar a chave de registro via `WScript.Shell`. **Casbaneiro (Metamorfo):** Emprega cadeias de instalação MSI complexas que extraem múltiplos componentes. O instalador MSI legítimo (`msiexec.exe`) é abusado para executar o payload inicial, que então cria a persistência em `HKCU\...\Run`. As DLLs maliciosas são depositadas em subpastas de `%ProgramData%\` ou `%APPDATA%\`, frequentemente com nomes que simulam produtos reais como `BradescoNet`, `ItauApp` ou `BBSegurança`. **Astaroth (Guildma):** Combina Registry Run Keys com técnicas fileless usando [[t1218-011-rundll32|T1218.011 - Rundll32]] e [[t1059-001-powershell|T1059.001 - PowerShell]]. A chave de registro aponta para um comando `rundll32.exe` que carrega uma DLL ofuscada, ou para um script `.lnk` na pasta Startup que invoca `BITSAdmin` ou `certutil` para reconstruir o payload a partir de dados fragmentados em múltiplos arquivos. ### Exemplo de Criação de Persistência (Grandoreiro) ``` reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "JavaUpdateScheduler" /t REG_SZ /d "C:\Users\vitima\AppData\Roaming\Java\bin\javaw.exe C:\Users\vitima\AppData\Roaming\Java\lib\update.dll" /f ``` Neste exemplo, `javaw.exe` é um binário legítimo da Oracle copiado pelo malware, e `update.dll` é o payload do Grandoreiro - técnica clássica de DLL sideloading. ## Detecção ### Eventos Sysmon Relevantes | Event ID | Descrição | Aplicação | |---|---|---| | **EID 13** | Registry Value Set | Detecta criação/modificação de valores em chaves Run | | **EID 12** | Registry Object Created/Deleted | Detecta criação de novas chaves no caminho Run | | **EID 1** | Process Create | Correlaciona processo que criou a chave com origem | | **EID 11** | File Create | Detecta DLLs depositadas em %APPDATA% ou %ProgramData% | ### Regra Sigma - Modificação de Run Key por Processo Não-Padrão ```yaml title: Suspicious Registry Run Key Modification by Non-Standard Process status: experimental logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - '\CurrentVersion\Run' - '\CurrentVersion\RunOnce' filter_legitimate: Image|endswith: - '\explorer.exe' - '\msiexec.exe' - '\svchost.exe' filter_paths: Image|startswith: - 'C:\Program Files\' - 'C:\Program Files (x86)\' - 'C:\Windows\' condition: selection and not filter_legitimate and not filter_paths level: high ``` ### Indicadores de Comprometimento Comportamentais - Valores de registro em `HKCU\...\Run` apontando para caminhos em `%APPDATA%` ou `%TEMP%` - DLLs não assinadas em subpastas aleatórias de `%APPDATA%` - Binários legítimos (javaw.exe, python.exe, node.exe) copiados para diretórios incomuns - Nomes de valores de registro mimetizando software conhecido mas com caminhos atípicos - Múltiplas entradas Run criadas em curto intervalo temporal ## Mitigação ### Controles Recomendados - **[[m1038-execution-prevention|M1038 - Execution Prevention]]:** Application whitelisting para restringir execução de binários fora de diretórios autorizados, bloqueando DLLs em `%APPDATA%` - **[[m1024-restrict-registry-permissions|M1024 - Restrict Registry Permissions]]:** Monitoramento e alerta em tempo real para modificações nas chaves Run/RunOnce via GPO ou EDR - **[[m1017-user-training|M1017 - User Training]]:** Treinamento específico sobre phishing com temas brasileiros - NFe, boletos, SERASA, Receita Federal - **[[Antimalware]]:** EDR com regras comportamentais para DLL sideloading e registry persistence - **Autoruns baseline:** Manter baseline de entradas legítimas de autostart e alertar em desvios ### Ações Imediatas 1. Auditar `HKCU\...\Run` e `HKLM\...\Run` em todos os endpoints via script centralizado 2. Bloquear execução de binários a partir de `%APPDATA%\*` e `%TEMP%\*` quando possível 3. Implementar regras EDR para correlacionar criação de chave Run + download recente de arquivo 4. Monitorar a pasta Startup (`shell:startup`) para criação de atalhos ou scripts suspeitos ## Atores que Utilizam | Ator | Método de Persistência | Caminho Típico do Payload | Linguagem | |---|---|---|---| | [[grandoreiro\|Grandoreiro]] | `HKCU\...\Run` + DLL sideloading | `%APPDATA%\{NomeAleatorio}\*.dll` | Delphi | | [[mekotio\|Mekotio]] | `HKCU\...\Run` + pasta Startup | `%LOCALAPPDATA%\{GUID}\svchost.exe` | AutoIt/Delphi | | [[casbaneiro\|Casbaneiro]] | `HKCU\...\Run` via cadeia MSI | `%ProgramData%\{NomeBanco}\*.dll` | Delphi | | [[astaroth\|Astaroth]] | `HKCU\...\Run` + LOLBins fileless | `rundll32.exe %APPDATA%\...\*.dll` | Delphi | | [[apt28\|APT28]] | `HKLM\...\Run` + `HKCU\...\Run` | `%ProgramData%\Microsoft\*.exe` | C/C++ | | [[kimsuky\|Kimsuky]] | `HKCU\...\Run` via VBS dropper | `%APPDATA%\Microsoft\*.vbs` | VBScript | | [[lazarus-group\|Lazarus Group]] | `HKLM\...\Run` com serviço | `%SystemRoot%\System32\*.dll` | C/C++ | ## Relevância LATAM/Brasil O Brasil é reconhecido como o maior polo global de desenvolvimento de banking trojans. As quatro famílias documentadas neste procedimento - [[grandoreiro|Grandoreiro]], [[mekotio|Mekotio]], [[casbaneiro|Casbaneiro]] e [[astaroth|Astaroth]] - originam-se de operadores brasileiros e representam uma ameaça persistente ao [[financial|setor financeiro]] da região. A adoção do **PIX** pelo Banco Central do Brasil em 2020 transformou o cenário de fraude: transações instantâneas e irreversíveis eliminaram a janela de tempo que antes permitia a reversão de transferências fraudulentas. Banking trojans que antes visavam apenas credenciais agora executam transferências PIX automatizadas diretamente da sessão bancária da vítima. Os vetores de phishing exploram particularidades culturais brasileiras que não existem em outras regiões: Nota Fiscal Eletrônica (NFe), boletos bancários, intimações do SERASA/SPC, comúnicados da Receita Federal e notificações de entrega dos Correios. Essa especificidade cultural torna os ataques altamente eficazes contra vítimas brasileiras. A expansão geográfica é notável: [[grandoreiro|Grandoreiro]] expandiu operações para México, Argentina, Chile, Espanha e Portugal a partir de 2023. [[mekotio|Mekotio]] opera ativamente no Chile e México. Essa tendência de internacionalização demonstra que a expertise brasileira em banking trojans está sendo exportada para toda a América Latina e mercados lusófonos/hispanófonos, com adaptação dos temas de phishing para cada país. Para equipes de [[detection\|detecção]] no Brasil, monitorar modificações em Registry Run Keys combinadas com criação de DLLs em diretórios de usuário é uma das heurísticas de maior valor para identificação precoce de infecções por banking trojans. ## Referências - [MITRE ATT&CK - T1547.001: Registry Run Keys / Startup Folder](https://attack.mitre.org/techniques/T1547/001/) - [ESET - Grandoreiro: How engorged can an ideally become?](https://www.welivesecurity.com/en/eset-research/grandoreiro-banking-trojan/) - [Kaspersky - The Tetrade: Brazilian Banking Malware Goes Global](https://securelist.com/the-tetrade-brazilian-banking-malware/97779/) - [Checkpoint - Mekotio Banking Trojan Analysis](https://research.checkpoint.com/2021/mekotio-banker-returns-with-improved-stealth/) - [Microsoft - Astaroth/Guildma Fileless Campaign](https://www.microsoft.com/en-us/security/blog/2019/07/08/dismantling-a-fileless-campaign-microsoft-defender-atp-next-gen-protection-exposes-astaroth-attack/) - [CERT.br - Alertas sobre Trojans Bancários](https://www.cert.br/)