# T1657 - Financial Theft > [!danger] Técnica de Impacto - Alta Relevância LATAM > **T1657** é uma das técnicas de impacto financeiro mais críticas no contexto brasileiro e latino-americano. Grupos como [[g1026-malteiro|Malteiro]] e [[g1016-fin13|FIN13]] utilizam esta técnica extensivamente contra instituições financeiras na região. ## Descrição Adversários podem roubar recursos monetários de alvos por meio de extorsão, engenharia social, roubo técnico ou outros métodos destinados ao ganho financeiro próprio, à custa da disponibilidade desses recursos para as vítimas. O roubo financeiro é o objetivo final de vários tipos populares de campanhas, incluindo extorsão por ransomware, comprometimento de e-mail corporativo (BEC) e fraude, esquemas de "pig butchering", invasão bancária e exploração de redes de criptomoedas. Adversários podem [[t1586-compromise-accounts|comprometer contas]] para realizar transferências não autorizadas de fundos. No caso de comprometimento de e-mail corporativo ou fraude por e-mail, um adversário pode utilizar [[t1656-impersonation|Impersonation]] de uma entidade confiável. Uma vez bem-sucedida a engenharia social, as vítimas podem ser induzidas a enviar dinheiro para contas financeiras controladas pelo adversário. Isso cria o potencial para múltiplas vítimas - tanto as contas comprometidas quanto as perdas monetárias finais - em incidentes envolvendo roubo financeiro. A extorsão por ransomware pode ocorrer, por exemplo, quando um adversário exige pagamento de uma vítima após [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] e [[ta0010-exfiltration|Exfiltração]] de dados, ameaçando vazar dados sensíveis ao público caso o pagamento não sejá efetuado. Adversários podem usar sites dedicados de vazamento (leak sites) para distribuir os dados das vítimas. Devido ao potencial impacto imenso nos negócios decorrente do roubo financeiro, um adversário pode abusar da possibilidade de ganho monetário para desviar a aténção de seus objetivos reais, como [[t1485-data-destruction|Destruição de Dados]] e interrupção de negócios. Esta técnica frequentemente aparece combinada com [[t1561-disk-wipe|Disk Wipe]] e [[Reboot]] para maximizar o dano após a extração dos recursos. ## Como Funciona O T1657 engloba múltiplos vetores de roubo financeiro que os adversários utilizam dependendo do alvo e do nível de acesso conquistado: ### 1. Business Email Compromise (BEC) O adversário compromete ou falsifica contas de e-mail corporativo para redirecionar transferências bancárias legítimas. Após ganhar acesso a uma caixa de e-mail executiva ou contábil, o atacante monitora comúnicações financeiras e, no momento oportuno, intercepta ou inicia solicitações de transferência fraudulentas apontando para contas controladas pelo grupo. ### 2. Extorsão por Ransomware (Double/Triple Extortion) Grupos de ransomware como [[g1024-akira|Akira]], [[g1032-inc-ransom|INC Ransom]] e [[g1015-scattered-spider|Scattered Spider]] utilizam um modelo de dupla extorsão: primeiro criptografam os dados da vítima com [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] e, simultaneamente, exfiltram os arquivos mais sensíveis. A vítima é então pressionada a pagar um resgate para (a) obter a chave de descriptografia e (b) evitar a públicação dos dados em sites de vazamento dedicados. Em alguns casos, há uma terceira extorsão dirigida aos clientes e parceiros cujos dados foram comprometidos. ### 3. Roubo de Criptomoedas [[g0094-kimsuky|Kimsuky]] e especialmente o ecossistema do [[g0032-lazarus-group|Lazarus Group]] (via [[g1049-applejeus|AppleJeus]]) são prolíficos no roubo de ativos digitais. O vetor mais comum é o comprometimento de exchanges, carteiras hot wallet, bridges cross-chain e protocolos DeFi. O malware [[s1246-beavertail|BeaverTail]] é empregado para capturar credenciais de carteiras e seeds phrases diretamente dos dispositivos das vítimas. ### 4. Pig Butchering e Fraude de Investimento Esquemas de "pig butchering" (matança de porco) envolvem engenharia social prolongada - geralmente via aplicativos de mensagens ou redes sociais - onde a vítima é convencida a investir em plataformas fraudulentas de criptomoedas. O adversário manipula os "ganhos" exibidos para incentivar depósitos crescentes antes de desaparecer com os fundos. ### 5. Acesso Direto a Sistemas Bancários O grupo [[g1016-fin13|FIN13]] é notório pelo acesso direto a sistemas de processamento de pagamentos de bancos mexicanos. Após comprometer a infraestrutura interna, os adversários manipulam registros de saldo e autorizam transferências fraudulentas por sistemas como SPEI (equivalente brasileiro: SPB/PIX). ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>(T1591 - Gather Victim Org Info)"] --> B["Acesso Inicial<br/>(Phishing / BEC / Credenciais Comprometidas)"] B --> C["Persistência<br/>(T1078 - Valid Accounts)"] C --> D["Coleta<br/>(Dados Financeiros / Credenciais Bancárias)"] D --> E{"Vetor de Monetização"} E --> F["Ransomware<br/>(T1486 - Data Encrypted for Impact)"] E --> G["Transferência BEC<br/>(T1656 - Impersonation)"] E --> H["Roubo de Crypto<br/>(AppleJeus / BeaverTail)"] F --> I["Extorsão<br/>(Pagamento Exigido)"] G --> I H --> I I --> J["Lavagem via<br/>Criptomoedas / Mulas"] J --> K["Impacto Final<br/>(T1657 - Financial Theft)"] ``` ## Exemplos de Uso ### Lazarus Group / AppleJeus - Roubo de Exchanges O subgrupo do [[g0032-lazarus-group|Lazarus Group]] responsável pelo [[g1049-applejeus|AppleJeus]] criou aplicações falsas de trading de criptomoedas distribuídas via GitHub e sites legítimos aparentes. Ao instalar o aplicativo, a vítima instala simultaneamente um backdoor que captura credenciais de carteiras, intercepta chaves privadas e exfiltra seeds phrases. O grupo é creditado com o roubo do Bybit em fevereiro de 2025 - aproximadamente **US$ 1,5 bilhão** em criptoativos, o maior roubo de criptomoedas da história. ### Scattered Spider - BEC e SIM Swapping O [[g1015-scattered-spider|Scattered Spider]] (também conhecido como UNC3944) combina SIM swapping, engenharia social telefônica (vishing) e comprometimento de identidade em nuvem para acessar sistemas financeiros e de pagamento. O grupo frequentemente personifica suporte técnico de TI para induzir funcionários a fornecer credenciais ou aprovar transferências não autorizadas. ### FIN13 - Acesso a Sistemas de Pagamento Mexicanos O [[g1016-fin13|FIN13]] manteve presença em instituições financeiras mexicanas por mais de seis anos antes de ser detectado. O grupo realizou acesso direto aos sistemas SWIFT internos e a plataformas de processamento de pagamentos interbancários, desviando fundos de forma discreta para evitar alertas de detecção de fraude. ### Malteiro - Fraude Bancária Brasileira O [[g1026-malteiro|Malteiro]] é um grupo brasileiro especializado em fraude bancária via malware. Distribui trojans bancários disfarçados de boletos, faturas e comúnicações oficiais de bancos brasileiros. Após infectar o dispositivo da vítima, o malware realiza transações fraudulentas via PIX, TED e boletos bancários enquanto exibe telas falsas para ocultar a atividade. ### Cinnamon Tempest / Storm-0501 - Ransomware com Dupla Extorsão [[g1021-cinnamon-tempest|Cinnamon Tempest]] e [[g1053-storm-0501|Storm-0501]] utilizam ransomware com modelo de dupla extorsão, frequentemente exigindo resgates na faixa de US$ 500 mil a vários milhões de dólares, pagos exclusivamente em Monero ou Bitcoin para dificultar o rastreamento. ## Detecção ### Estrategia Geral A detecção de roubo financeiro requer monitoramento de múltiplas fontes de dados: e-mails (para BEC), transações financeiras (para transferências anômalas), autenticação (para comprometimento de contas) e endpoints (para malware de roubo de credenciais). ```yaml title: Suspeita de Business Email Compromise - Regra de Redirecionamento de E-mail status: experimental logsource: category: email product: microsoft_365 detection: selection: EventID: 'Set-Mailbox' Parameters|contains: - 'ForwardingSmtpAddress' - 'ForwardingAddress' - 'DeliverToMailboxAndForward' filter_legitimate: Actor|contains: - 'admin@' - 'it-support@' condition: selection and not filter_legitimate falsepositives: - Configurações legítimas de encaminhamento por administradores de TI - Redirecionamentos autorizados de e-mail durante reorganizações level: high tags: - attack.impact - attack.t1657 - attack.t1534 ``` ```yaml title: Transferência Financeira Anômala - Volume e Horário Atípicos status: experimental logsource: category: application product: banking_system detection: selection_high_value: transaction_amount|gte: 50000 transaction_type: - 'TED' - 'PIX' - 'SWIFT' selection_anomaly: transaction_hour|lte: 6 transaction_hour|gte: 22 condition: selection_high_value and selection_anomaly falsepositives: - Operações legítimas de alto valor em horários não convencionais - Transferências internacionais com diferença de fuso horário level: high tags: - attack.impact - attack.t1657 ``` ```yaml title: Acesso a Credenciais de Carteira de Criptomoedas status: experimental logsource: category: file_access product: windows detection: selection: TargetFilename|contains: - 'wallet.dat' - 'keystore' - '.seed' - 'metamask' - 'ledger' Image|contains: - '\AppData\Local\Temp\' - '\Users\Public\' condition: selection falsepositives: - Backup legítimo de carteiras pelo próprio usuário - Aplicações de gerenciamento de carteiras instaladas pelo usuário level: critical tags: - attack.impact - attack.t1657 - attack.collection ``` ### Fontes de Dados Recomendadas - **Logs de e-mail corporativo**: Monitorar criação de regras de encaminhamento, acessos de IPs incomuns - **Logs de autenticação**: Detectar logins de localidades geográficas impossíveis (impossible travel) - **Registros de transações financeiras**: Análise comportamental de padrões de transferência - **EDR/Endpoint**: Detectar processos acessando arquivos de carteiras de criptomoedas - **SIEM com UBA**: Correlacionar anomalias de comportamento de usuário com eventos financeiros ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar funcionários para reconhecer tentativas de BEC, phishing financeiro e engenharia social. Simulações regulares de phishing e treinamento específico para equipes financeiras e de RH são essenciais. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Implementar controles rigorosos de acesso a sistemas financeiros. Utilizar princípio do menor privilégio, aprovação em dois níveis para transferências acima de limites definidos e revisões regulares de permissões. | | MFA | Autenticação Multifator | Exigir MFA resistente a phishing (FIDO2/chaves físicas) para acesso a sistemas financeiros, e-mail corporativo e plataformas de criptomoedas. MFA por SMS é insuficiente contra SIM swapping. | | Controles Financeiros | Segregação de Funções | Implementar aprovação em quatro olhos para transferências de alto valor. Validação out-of-band (ligação telefônica para número pré-cadastrado) para mudanças de dados bancários de fornecedores. | | DLP | Prevenção de Perda de Dados | Monitorar e bloquear exfiltração de dados financeiros, credenciais bancárias e informações de clientes que possam ser usadas para extorsão. | ## Contexto Brasil/LATAM O Brasil ocupa uma posição de destaque global em crimes cibernéticos financeiros, com características únicas que amplificam o impacto de T1657: ### Ecossistema de Trojans Bancários Brasileiro O Brasil é o epicentro mundial de desenvolvimento de trojans bancários com jánela overlay - técnica que sobrepõe uma tela falsa sobre o aplicativo bancário legítimo para capturar credenciais e interceptar transações. Famílias como Grandoreiro, Mekotio, [[g1026-malteiro|Malteiro]], Guildma (Astaroth) e Javali formam o chamado "Quarteto Brasileiro" exportado para toda a América Latina e Europa. ### PIX como Vetor O sistema PIX, lançado pelo Banco Central do Brasil em 2020, tornou-se um vetor preferêncial para fraudes. A velocidade e irreversibilidade das transações PIX (liquidação em segundos, 24x7) beneficiam diretamente os adversários. Modalidades como PIX Falso, Mão Fantasma (controle remoto do dispositivo da vítima durante transação legítima) e engenharia social via centrais de aténdimento falsas são amplamente documentadas. ### Grupos Regionais Relevantes - **[[g1026-malteiro|Malteiro]]**: Grupo brasileiro especializado em fraude bancária e trojans overlay - **[[g1016-fin13|FIN13]]**: Ativo principalmente no México, com foco em sistemas bancários SPEI - **[[g0094-kimsuky|Kimsuky]]** e **[[g0032-lazarus-group|Lazarus Group]]**: Grupos norte-coreanos com interesse crescente em exchanges de criptomoedas brasileiras e latino-americanas - **Contagious Interview ([[g1052-contagious-interview|Contagious Interview]])**: Campanha norte-coreana que distribui [[s1246-beavertail|BeaverTail]] e [[s1245-invisibleferret|InvisibleFerret]] para roubo de carteiras de criptomoedas ### Regulamentação e Resposta O Banco Central do Brasil implementou o **MED (Mecanismo Especial de Devolução)** para fraudes via PIX, com jánela de 7 dias para devolução de valores em casos de fraude comprovada. A FEBRABAN (Federação Brasileira de Bancos) mantém o **Registrato** e protocolos de compartilhamento de inteligência de fraude entre instituições financeiras. ## Referências - [MITRE ATT&CK - T1657 Financial Theft](https://attack.mitre.org/techniques/T1657) - [FBI - Business Email Compromise](https://www.ic3.gov/Home/BEC) - [Banco Central do Brasil - Mecanismo Especial de Devolução PIX](https://www.bcb.gov.br/estabilidadefinanceira/pix) - [FEBRABAN - Relatório de Cybersecurity 2024](https://febraban.org.br/) - [Kaspersky LATAM - Trojans Bancários Brasileiros](https://latam.kaspersky.com/) - [Mandiant - FIN13 Financial Crime Group](https://www.mandiant.com/) - [Chainalysis - Crypto Crime Report 2025](https://www.chainalysis.com/) - [[g0032-lazarus-group|Lazarus Group]] - maior grupo de roubo de criptomoedas do mundo - [[g1049-applejeus|AppleJeus]] - malware de roubo de criptomoedas do Lazarus Group - [[s1246-beavertail|BeaverTail]] - stealer de carteiras da campanha Contagious Interview - [[s1245-invisibleferret|InvisibleFerret]] - backdoor Python da campanha Contagious Interview - [[s1240-redline-stealer|RedLine Stealer]] - infostealer amplamente usado para roubo de credenciais financeiras - [[darkgaté|DarkGaté]] - loader multi-estágio frequentemente usado em campanhas BEC - [[s1247-embargo|Embargo]] - ransomware com capacidade de dupla extorsão - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - técnica frequentemente combinada com T1657 - [[t1656-impersonation|T1656 - Impersonation]] - técnica de suporte para BEC - [[t1586-compromise-accounts|T1586 - Compromise Accounts]] - vetor de acesso para fraude financeira