s0176-wingbird - RunkIntel

# Wingbird > Tipo: **malware** · S0176 · [MITRE ATT&CK](https://attack.mitre.org/software/S0176) ## Descrição [[s0176-wingbird|Wingbird]] é um backdoor que parece ser uma versão customizada do software de vigilância comercial [[s0182-finfisher|FinFisher]] (FinSpy), adaptado para atacar computadores individuais em vez de redes. O malware foi utilizado pelo [[g0055-neodymium|NEODYMIUM]] em uma campanha em maio de 2016 direcionada a membros da comunidade turca na Europa - um perfil de alvo consistente com operações de vigilância estatal contra dissidentes e comunidades emigradas. Do ponto de vista técnico, o Wingbird demonstra alto nível de sofisticação: registra um driver LSASS para garantir persistência profunda no sistema, utiliza DLL hijacking e process injection para execução furtiva, e explora vulnerabilidades para escalação de privilégios. O malware verifica o software de segurança instalado no sistema alvo antes de realizar operações mais invasivas, adaptando seu comportamento para evitar detecção. A execução via serviços Windows garante que o backdoor sobreviva a reinicializações do sistema. O [[g0055-neodymium|NEODYMIUM]] e o grupo atividade correlato PROMETHIUM são grupos de ameaça que provavelmente representam interesses estatais e utilizam ferramentas de vigilância comercial (como FinFisher) em operações contra alvos específicos - uma prática que levanta questões sobre o uso de spyware comercial por estados para vigilância política de seus cidadãos no exterior. Esta categoria de ameaça é especialmente relevante para jornalistas, ativistas e dissidentes políticos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1547-008-lsass-driver|T1547.008 - LSASS Driver]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Grupos que Usam - [[g0055-neodymium|NEODYMIUM]] ## Detecção A detecção do Wingbird requer monitoramento de registro de drivers relacionados ao LSASS por processos não-sistema, DLL hijacking em diretórios de sistema, escalação de privilégios por exploração de vulnerabilidades e injeção de código em processos de sistema. Soluções de EDR com proteção de LSASS (Credential Guard no Windows 10+) e monitoramento de drivers são essenciais. A presença de software FinFisher pode ser detectada por yara rules específicas públicadas por pesquisadores de segurança. ## Relevância LATAM/Brasil O uso de spyware comercial como FinFisher/Wingbird por atores governamentais é uma ameaça documentada globalmente, incluindo na América Latina. Jornalistas investigativos, ativistas políticos, defensores de direitos humanos e figuras de oposição no Brasil e em outros países da região são potenciais alvos de vigilância estatal via ferramentas similares ao Wingbird. O Citizen Lab documentou uso de spyware comercial contra alvos na América Latina, tornando essa classe de ameaça diretamente relevante para a região. ## Referências - [MITRE ATT&CK - S0176](https://attack.mitre.org/software/S0176)