# Cobian RAT > Tipo: **malware** · S0338 · [MITRE ATT&CK](https://attack.mitre.org/software/S0338) ## Descrição O [[s0338-cobian-rat|Cobian RAT]] é um backdoor e ferramenta de acesso remoto (RAT) observado em operação desde 2016. Distribuído inicialmente como um builder gratuito em fóruns de hacking, o Cobian RAT se tornou amplamente utilizado por atores de ameaça de diversos níveis técnicos. O malware apresenta um design interessante: continha um backdoor embutido pelo criador original, permitindo que o desenvolvedor controlasse todos os bots implantados por compradores do builder - uma técnica de "supply chain" dentro do ecossistema de malware criminoso. O Cobian RAT oferece capacidades de vigilância abrangentes, incluindo captura de tela em tempo real ([[t1113-screen-capture|T1113]]), gravação de vídeo da webcam ([[t1125-video-capture|T1125]]), captura de áudio do microfone ([[t1123-audio-capture|T1123]]) e keylogging ([[t1056-001-keylogging|T1056.001]]). A comunicação C2 utiliza DNS ([[t1071-004-dns|T1071.004]]) com dados codificados em base64 ([[t1132-001-standard-encoding|T1132.001]]) e execução de comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]). A persistência é garantida via chaves de registro Run ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]). A natureza gratuita e amplamente distribuída do builder do Cobian RAT resultou em sua adoção por múltiplos grupos de ameaça independentes, incluindo agentes motivados financeiramente no Oriente Médio que o utilizaram para espionagem contra organizações do setor financeiro e governamental. A ausência de atribuição exclusiva dificulta o rastreamento de campanhas específicas mas confirma sua disseminação global. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1125-video-capture|T1125 - Video Capture]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1123-audio-capture|T1123 - Audio Capture]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] ## Detecção - Monitorar criação de chaves de registro Run por processos não administrativos ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - Detectar consultas DNS incomuns geradas por processos de usuário ([[t1071-004-dns|T1071.004]]) - Alertar sobre captura de microfone e câmera por aplicações não autorizadas ([[t1123-audio-capture|T1123]], [[t1125-video-capture|T1125]]) - Identificar comunicação de rede de processos com keylogger ativo ([[t1056-001-keylogging|T1056.001]]) - Regra Sigma: processo gravando audio ou video continuamente sem interação do usuário visível ## Relevância LATAM/Brasil O [[s0338-cobian-rat|Cobian RAT]] é uma ameaça relevante para o Brasil por sua natureza de builder gratuito amplamente distribuído. Atores de ameaça de baixa sofisticação, incluindo grupos de crime cibernético latinoamericanos, podem utilizar o Cobian RAT para espionagem corporativa e roubo de credenciais. A facilidade de obtenção e configuração do builder torna esta ferramenta acessível a grupos que operam específicamente contra alvos no Brasil, especialmente em setores de varejo, PMEs e profissionais liberais. O backdoor embutido pelo criador original também expõe utilizadores do builder a comprometimento pela fonte, demonstrando os riscos do ecossistema de malware-as-a-service. ## Referências - [MITRE ATT&CK - S0338](https://attack.mitre.org/software/S0338)